Calculando o retorno do investimento em segurança

Jack Fitzpatrick
 

 

“É difícil medir a eficácia dos investimentos em segurança. É como um seguro: você sabe que precisa, mas não dá valor a isso. ” 

Isso pode ser um ponto de vista preguiçoso aos olhos de uma parte interessada em TI, já que essa atitude é irrefutável se você quiser ser um gerente de TI eficiente. É absolutamente necessário um método para calcular com precisão o seu retorno sobre investimento em segurança (ROSI), para avaliar se sua estratégia de segurança cibernética está atingindo as metas de seu departamento e sua organização e, se necessário, solicitar orçamento adicional.

Cálculo do ROI clássico e por que não funciona para retorno do investimento em segurança

O retorno sobre investimento (ROI) é um índice de rentabilidade para um investimento específico. Ele ajuda a determinar se você deve fazer uma compra ou ignorá-la ou como um investimento específico foi realizado até o momento. A maneira mais simples de calcular o ROI é quantificar algum tipo de “retorno” ou “benefício” e dividi-lo pelo “investimento” ou “custo”:

 

EVENTO FRAUDES CORPORATIVAS

DIA 16 DE OUTUBRO NO RIO DE JANEIRO

INSCREVA-SE – CLIQUE NA IMAGEM

 

Essa equação clássica de ROI funciona apenas para investimentos que geram resultados positivos, como redução de custos ou aumento de receita. Mas o que é um investimento em segurança? Esse tipo de investimento não aumenta as receitas diretamente nem fornece retorno imediato; em vez disso, os investimentos em segurança dizem respeito ao gerenciamento de riscos que resultam em prevenção de perdas e mitigação de riscos. Assim, um cálculo do ROSI deve indicar quanta perda a organização poderia evitar devido ao investimento em segurança, por isso precisamos de uma fórmula diferente.

As métricas certas para o ROSI

Ter as métricas certas para o cálculo é imperativo. Existem 3 que nunca devem ser evitados:

  1. Os dados precisam ser fáceis de coletar regularmente. Se custar muito tempo ou dinheiro para coletar os dados de que você precisa, o cálculo do ROSI rapidamente se tornará um fardo e superará qualquer benefício percebido.
  2. Relevante para o seu negócio e os riscos que enfrenta.
  3. Relativamente precisa – não necessariamente 100% é ok. Como você está estimando ameaças que poderiam afetar sua empresa, seus cálculos não serão 100% precisos. Aceite isso e faça o melhor que puder.

A fórmula quantitativa de análise de risco

O SANS Institute oferece uma  fórmula quantitativa de análise de risco  para estimar o ROSI que foi amplamente adotado. Ao contrário das fórmulas de ROI simples, baseia-se na sua avaliação dos riscos específicos que determinado investimento de segurança abordará. Portanto, você precisa entender claramente sua exposição ao risco de segurança e estimar o valor de cada ativo que o investimento em segurança pretende proteger. Aqui está a fórmula:

Vamos explorar como calcular cada um dos componentes nessa fórmula: ALE, Taxa de mitigação.

  1. Expectativa de perda anualizada (ALE)

A expectativa de perda anualizada (ALE)  é a perda monetária anual total por ano que se espera que resulte de um fator de exposição específico, caso o investimento de segurança não seja feito. Para calcular o ALE, multiplicamos a expectativa de perda única (SLE) pela taxa de ocorrência anualizada (ARO):

Calculando ALE – Aqui estão os dois componentes da fórmula ALE:

  • A expectativa de perda única (SLE, single loss expectancy)  é a quantia de dinheiro que será perdida em um único incidente de segurança. Para estimar o SLE, é necessário inventariar seus dados e outros ativos de TI e somar os custos diretos (por exemplo, investigações técnicas e penalidades legais) e indiretos (por exemplo, tempo de inatividade de negócios e aumento da taxa de rotatividade de clientes) de danos ou perda desses ativos. ativos.
  • A taxa de ocorrência anualizada (ARO)  é a frequência ou expectativa estimada de uma ameaça marcante dentro de um ano. Este é um número simples e você pode recolher registros históricos. Por exemplo, se uma determinada ameaça atingir sua organização apenas uma vez nos últimos 10 anos, ela terá um ARO de 0,1; Se uma ameaça ocorre cerca de 10 vezes por ano, ela tem um ARO de 10.

2. Taxa de mitigação – O rácio de mitigação é a percentagem de riscos que o investimento em segurança iria abordar.

De acordo com  Sonnenreich, Albanese e Stout – alguns dos primeiros pesquisadores a abordar o problema de quantificar o valor dos controles de segurança – não há problema se a taxa de mitigação de risco for aproximada. 

A melhor abordagem é avaliar o número previsto de riscos mitigados com base em um algoritmo de pontuação escolhido por você. Mesmo que os dados do modelo ROSI sejam imprecisos, o uso desse algoritmo de maneira repetitiva e consistente permitirá que você compare o valor relativo de diferentes investimentos em segurança.

Exemplo

Vamos estimar a ALE e a taxa de mitigação para um cenário fictício e usá-los para calcular o ROSI para um investimento de segurança proposto.

Aqui estão os pontos de dados:

  1. Você sabe que seus servidores de arquivos têm pastas compartilhadas contendo arquivos com informações confidenciais que podem ser acessadas por todos na sua empresa.  
  2. Você sabe que essa superexposição de dados aumenta o risco de comprometimento e perda de dados.
  3. Você não sabe o número exato ou a localização das pastas.  
  4. Para reduzir esse risco, sua empresa está pensando em investir em uma solução para descobrir dados confidenciais.  

Para determinar se esse investimento é justificado, você precisa fazer as contas.

Você prevê que:

  1. Se você não tiver a solução, você terá uma média de 10 incidentes de segurança por ano (ARO = 10). 
  2. Cada incidente pode levar a uma violação que custa cerca de US $ 40.000 em perda de dados, multas, perda de produtividade e perda de negócios (SLE = 40.000). 

Portanto, o ALE é de 400.000. Espera-se que a solução de descoberta de dados proposta reduza esse risco em 94% (taxa de mitigação = 94%). O custo estimado de compra e gerenciamento da solução é de US $ 60.000.

Então você pode calcular o uso da fórmula ROSI de cima como segue:

Usando esse cálculo, você pode argumentar que esse investimento economizará para a empresa cerca de US $ 316.000 (US $ 400.000 * 0,94 – US $ 60.000), para um retorno de 526%.

** Você também pode usar essa fórmula para avaliar o ROSI de um investimento existente. Apenas certifique-se de conduzir uma avaliação de risco precisa e entender a exposição ao risco da sua empresa.

Modificando a fórmula ROSI com métricas adicionais

Você pode modificar a fórmula quantitativa de análise de risco incluindo critérios adicionais específicos do setor ou apenas mais importantes para sua organização. aqui estão alguns exemplos:

  • Perfil de risco versus colegas do setor  – A comparação do orçamento de segurança e da execução com os colegas do setor pode ser bastante útil. Pesquisas específicas do setor ajudarão você a identificar as práticas recomendadas quantitativas, aprender quais ameaças seus colegas encontram e como abordá-las e ver as linhas de base para se orientar. Matt Middleton-Leal aconselha começar com pesquisa realizada pelo Gartner.
  • Status de conformidade –  Se sua empresa estiver sujeita a um novo padrão de conformidade ou quiser melhorar sua conformidade com um existente, você deverá incluir seu status de conformidade como um fator ao avaliar os investimentos em segurança. Você pode coletar esses dados realizando auditorias internas regulares para verificar se seus processos estão alinhados com as estruturas de segurança exigidas pela norma, verificando suas notas em auditorias recentes e determinando as áreas nas quais você precisa trabalhar.
  • Prontidão organizacional para lidar com incidentes –  Você divide seus profissionais de segurança em dois grupos: uma equipe ataca sua infraestrutura e o outro grupo a defende. Ao conduzir esses jogos de vez em quando, você poderá acompanhar o desempenho dos membros de sua equipe durante o ataque, testar a eficácia do seu programa de segurança e investimentos e comparar os resultados obtidos com os jogos anteriores. Por exemplo, você pode ver quanto tempo a equipe precisou para detectar e responder ao ataque e quais indivíduos tiveram melhor desempenho e quem precisa de treinamento adicional.

Conclusão

Com precisão calculada, o ROSI fornecerá os dados acionáveis ​​e confiáveis ​​necessários para descobrir se seus esforços realmente apóiam sua estratégia de segurança de TI e reduzem os riscos cibernéticos, determinam se os gastos atuais com segurança são justificados, ajustam seu orçamento realocando recursos para problemas prioritários, ou solicitar investimentos adicionais.

Jack Fitzpatrick é um líder de pensamento de segurança da informação com mais de 30 anos de experiência. Além de falar e escrever, ele tem uma paixão em ajudar seus clientes a oferecer melhores resultados de negócios por meio do uso inovador e transformador da tecnologia. Jack gosta de passar tempo com sua esposa, filhos e (mais) netos em Milton, na Geórgia. Você pode se conectar com JackAQUI 

https://www.linkedin.com/pulse/calculating-return-security-investment-rosi-jack-fitzpatrick/


print
Share and Enjoy:
  • Facebook
  • В закладки Google
  • LinkedIn
  • Twitter
  • MySpace
  • Яндекс.Закладки
  • Reddit
  • StumbleUpon
  • Technorati
  • del.icio.us
  • Digg
  • БобрДобр
  • MisterWong.RU
  • Memori.ru
  • МоёМесто.ru
  • LiveJournal
  • Сто закладок
  • Добавить ВКонтакте заметку об этой странице
  • Мой Мир
  • FriendFeed
  • Google Buzz

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *