Jak hodnotit návratnost investice do bezpečnosti
V minulém příspěvku jsme se věnovali hodnocení IT investic, dnes se podíváme na hodnocení návratnosti investic do bezpečnosti.
Hodnocení návratnosti investic do bezpečnosti (Return On Security Investment, zkr. ROSI) je vůbec problém, protože investice do bezpečnosti je často mnohými manažery považována za pouhý náklad. Pravda, nezvyšuje zisk, nýbrž snižuje pouze možnou ztrátu a umožňuje dosahovat úspor.
Jestliže chcete zjistit jaká je ROSI, musíte provést kvantitativní analýzu rizik, která by vám měla odpovědět na otázku, jaká je předpokládaná roční ztráta (Annual Loss Expectancy, zkr. ALE) v případě narušení důvěrnosti, integrity nebo dostupnosti dat, která zpracováváte nebo služeb, které poskytujete. Kde ALE=SLE*ARO, přičemž SLE je výše škody v případě realizace dané hrozby a ARO je četnost výskytu této hrozby za rok.
Jestliže jste schopni vyčíslit, jaké vám dané aktivum generuje zisk, což např. v případě e-shopu není problém, nemusíte zpravidla výši investic do zabezpečení daného serveru příliš dlouho zvažovat, protože je na první pohled zřejmé, zda se vyplatí. Problém však nastává v okamžiku, kdy zisk nebo ztrátu nejste schopni stanovit. Dokážete vyčíslit finanční ztrátu vyplývající např. z negativní publicity v médiích, z důvodu úniku citlivých informací prostřednictvím APT útoku?
Jde to, ale vzhledem k tomu, že v těchto případech není možné vyjít z historických dat, což je vždy lepší, tak se musíte spokojit se závěry nejrůznějších studií od dodavatelů bezpečnostních řešení, kteří sledují své vlastní zájmy. Výsledky studií navíc nemusí být relevantní, a to i kdyby vycházely z dat firem se stejným předmětem podnikání a stejné velikosti. Je tomu tak proto, že reakce veřejnosti na incident bývá různá. V takovém případě můžete jen extrapolovat.
ROSI vychází z předpokladu, že za návratnost investice by měla být považována úspora, ke které dojde v důsledku zavedení vhodného bezpečnostního opatření resp. snížení pravděpodobnosti hrozby, míry zranitelnosti a velikosti dopadu. Je zřejmé, že čím účinnější a rychlejší bude prevence, detekce a reakce na incident, tím nižší budou náklady na odstranění škod, které incident způsobil.
Nyní se podívejme na samotný výpočet ROSI. Označíme-li ztrátu před implementací jako ALE1, ztrátu po implementaci jako ALE2, a roční náklady na opatření jako ACS (Annual Cost Of Safeguard) získáme hodnotu opatření (Value Of the Safeguard).ROSI pak spočteme jako podíl hodnoty opatření a nákladů na opatření, tedy VOS/ACS.
Problém je, že i když použijeme tento exaktní přístup, tak v mnoha případech je pravděpodobnost hrozby a možná ztráta založena na pouhém subjektivním odhadu. Dokazovat tímto způsobem návratnost investice do bezpečnosti je mnohdy naprostá ztráta času. I proto vznikly best practice. Výsledky ROSI tak můžeme brát pouze jako jakési vodítko, neboť mohou být i velice snadno zmanipulovány.
Investice do bezpečnosti je nutnost, protože tak činí i ostatní subjekty na trhu a útočníci si vybírají ten nejzranitelnější. Někdy stačí i malý incident a firma končí, neboť ztratí dobré jméno, odchází ji klienti a klesá zisk.
Závěr: Investice do bezpečnosti firmě pomáhá se udržet dlouhodobě na trhu, přicházet s novými produkty a službami a ty ji mohou generovat zisk. Jinými slovy bezpečnostní opatření nevydělávají peníze, jen je šetří.
ČERMÁK, Miroslav, 2013. Jak hodnotit návratnost investice do bezpečnosti. Online. Clever and Smart. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/jak-hodnotit-navratnost-investice-do-bezpecnosti/. [citováno 08.12.2024].
Štítky: IT náklady
K článku “Jak hodnotit návratnost investice do bezpečnosti” se zde nachází 1 komentář.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.
Pokud jde o optimální výši investic do bezpečnosti, tak se nenechte zmást nejrůznějšími studiemi, které se snaží onu výši určit. Jestliže vám např. někdo bude předhazovat Gordon & Loeb model, dle kterého by optimální výše investic do bezpečnosti nikdy neměla překročit 37% očekávané ztráty, omlaťte mu o hlavu novější studii od Jana Willemsona, která toto tvrzení odmítá.