Можно ли посчитать ROI по безопасности?

И вновь вернусь к этой животрепещущей теме 😉 Так и не выложил я реальные цифры по расчету ROI по методу Монте-Карло — руки все не доходят оформить это надлежащим образом. Но зато наткнулся неделю назад еще на одну статью, посвященную этому вопросу. А в статье дана ссылка на калькулятор ROSI (Return on Security Investment).

Забавный инструмент. Формула там «простая» — из монетарной стоимости снижаемых рисков надо вычесть стоимость защитных мер, направленных на это самое снижение. Калькулятор работает в два шага. На первом надо посчитать цену всех инцидентов (что может быть проще ;-), а на втором — стоимость защитных мер (security controls). Дальше калькулятор все сделает за вас и выдаст вам в результате расчет ROSI.

ЗЫ. Калькулятор бесплатный, но зарегистрироваться на сайте придется.

ЗЗЫ. От себя добавлю, что вывод, который я озвучил на форуме директоров по ИБ в презентации по финансовой оценке проектов по ИБ, верен и в данном калькуляторе. Чтобы посчитать стоимость инцидентов вам необходимы данные, которых обычно у служб ИБ нет — они в ведении ИТ-департаментов, финансовых департаментов и других бизнес-подразделений. Это вам не объем спама или число дыр считать 😉

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. Сергей Борисов

    Другими словами — все плохо?

    Ответить
  2. Алексей Лукацкий

    Плохо, если безопасник не может получить исходных данных. А если может, то хорошо.

    Ответить
  3. Unknown

    Дело не в том, что не может получить. Дело в том, что не может сформулировать, что именно ему нужно и в какой форме. Увы, но в подавляющем большинстве случаев безопасность и бизнес разговаривают на разных языках. Отсюда и все проблемы. Современный безопасник должен не только хорошо разбираться в своем вопросе, но иметь подготовку и в менеджменте организации, и в юриспруденции, и в финансах. Постоянно самообразовываться и развиваться. Иначе он обречен на вымирание. И никакие ROI здесь не помогут.

    Ответить
  4. Сергей Борисов

    Даже если случится чудо и безопасник научится говорить на языке бизнеса, он столкнется с отсутствием цены всех инцидентов (крупных инцидентов могло и не быть).

    А ведь может оказаться что и бизнес не может оценить активы в деньгах. А всем этим калькуляторам — только стоимости подавай. Понимаешь ли им не подходят категории типа "снижение репутации в глазах 13% клиентов".

    Ответить
  5. Алексей Лукацкий

    Он столкнется с этим только в одном случае — когда он не хочет или не умеет считать. Все инциденты известны. Сделать расчет по каждому из них не представляет большого труда. Надо только потом всю это информацию вести в базе инцидентов. Но у кого она есть? Потому и не считают стоимость инцидентов.

    Тоже самое касается и активов. Методики оценки нематериальных активов существуют в России уже лет 10. Вопрос в том, что ими мало кто пользуется.

    Ответить
  6. ansv

    Может кто-нибудь пояснить, как учесть в стоимости инцидента, скажем, ущерб репутации, если в организации отродясь никаких инцидентов не регистрировали и "сбежавших" клиентов никто не подсчитывал.

    Смотреть на другие организации? Так может быть специфика. В том числе и национальная. Только экспертное "на глаз" остается или есть какие-то методики?

    Ответить
  7. Алексей Лукацкий

    Никак ;-( Ответ вытекает из вопроса. Если в организации не фиксируют инциденты и отток клиентов не считают, то ни о каком ROI и речи быть не может. Хотя текучка клиентов считается проще всего — есть данные по продажам за любой период; сравнивайте до и после инцидента. Только надо учитывать, что отток мог быть после, но не вследствии инцидента. Но в целом задача решаема.

    Ответить
  8. Unknown

    Алексей… Нифига не проще. На поведение клиентов влияет очень и очень много факторов, и кража клиентской базы в подавляющем большинстве случаев – на предпоследнем месте. И даже если она украдена, то имеет не прямой, а отложенный во времени эффект, и реально посчитать потери крайне затруднительно. Скорее потери будут имиджевые и репутационные, а это такое дышло…

    Ответить