Wie man die Rendite auf Sicherheitsinvestitionen berechnet

Return on Security Investment (ROSI) quantifiziert, wie viel Verlust eine Organisation durch Ausgaben für Cybersicherheit vermeidet, und ermöglicht es, Budgets zu rechtfertigen und die Wirksamkeit der Strategie zu bewerten. Unter Verwendung quantitativer Risikoanalysen berücksichtigt ROSI den annualized loss expectancy, die Häufigkeit von Bedrohungen, die Kosten eines einzelnen Vorfalls und das Minderungsverhältnis, um Einsparungen zu schätzen. Genaue Risikobewertungen, Compliance-Überlegungen und die organisatorische Bereitschaft verbessern alle Berechnungen und helfen dabei, Investitionen zu priorisieren.

Während meiner über 20-jährigen Karriere in der IT war ich aus vielen verschiedenen Perspektiven an Projekten beteiligt. Ich war Endbenutzer und Berater; ich habe Technologie verwaltet und sie auch verkauft. Aber durch all das gab es eine konstante Herausforderung: Wie bewertet man den Return on Investment für eine Technologie, die man entweder bereitstellt oder nutzt.

Meine Reise hat mich zur IT-Sicherheit geführt, und ich höre oft Aussagen wie: „Es ist schwer, die Wirksamkeit von Sicherheitsinvestitionen zu messen. Es ist wie eine Versicherung: Man weiß, dass man sie braucht, aber man kann ihren Wert nicht beziffern.“ Doch diese Einstellung ist ein No-Go, wenn man ein effektiver IT-Manager sein möchte. Man benötigt unbedingt eine Methode, um die Rentabilität der Sicherheitsinvestitionen (ROSI) genau zu berechnen, damit man beurteilen kann, ob die Cyber-Sicherheitsstrategie die Ziele der Abteilung und der Organisation erreicht, und falls nötig, für zusätzliches Budget argumentieren kann. In diesem Blogbeitrag beschreibe ich, wie man ROSI berechnet.

Klassische Kapitalrendite

Die Kapitalrendite (ROI) ist eine Rentabilitätskennzahl für eine spezifische Investition. Sie hilft Ihnen zu bestimmen, ob Sie einen Kauf tätigen oder ihn auslassen sollten, oder wie sich eine bestimmte Investition bislang entwickelt hat.

Der einfachste Weg, den ROI zu berechnen, besteht darin, eine Art „Ertrag“ oder „Nutzen“ zu quantifizieren und ihn durch die „Investition“ oder „Kosten“ zu teilen:

Berechnung des ROI

Warum klassischer ROI nicht für die Rendite von Sicherheitsinvestitionen funktioniert

Diese ROI-Gleichung funktioniert nur für Investitionen, die positive Ergebnisse liefern, wie Kosteneinsparungen oder Umsatzsteigerungen. Aber was ist eine Sicherheitsinvestition? Diese Art von Investition erhöht weder direkt die Einnahmen noch bietet sie eine sofortige Rückzahlung; vielmehr geht es bei Sicherheitsinvestitionen um Risikomanagement, das in Verlustprävention und Risikominderung resultiert. Daher sollte eine ROSI-Berechnung anzeigen, wie viel Verlust die Organisation aufgrund der Sicherheitsinvestition vermeiden könnte, also benötigen wir eine andere Formel.

Die richtige Auswahl der Kennzahlen für ROSI

Bevor wir uns damit beschäftigen, wie man den ROSI berechnet, ist es wichtig sicherzustellen, dass der Prozess praktikabel ist und zuverlässige sowie umsetzbare Ergebnisse liefert. Es ist wesentlich, zu gewährleisten, dass Ihre Kennzahlen folgendes sind:

• Einfach zu sammeln in regelmäßigen Abständen. Wenn es viel Zeit oder Geld kostet, die benötigten Daten zu sammeln, wird die ROSI-Berechnung sehr schnell zu einer Belastung und jeglichen wahrgenommenen Nutzen überwiegen.
• Relevant für Ihr Unternehmen und die Risiken, denen es ausgesetzt ist.
• Verhältnismäßig genau. Da Sie Bedrohungen abschätzen, die Ihr Unternehmen treffen könnten, werden Ihre Berechnungen nicht 100% genau sein. Akzeptieren Sie das und tun Sie Ihr Bestes.

Berechnung des ROSI – die quantitative Risikoanalyseformel

Das SANS Institute bietet eine quantitative risk analysis formula zur Schätzung des ROSI an, die weit verbreitet übernommen wurde. Im Gegensatz zu einfachen ROI-Formeln basiert sie auf Ihrer Bewertung der spezifischen Risiken, die durch eine gegebene Sicherheitsinvestition adressiert werden. Daher müssen Sie Ihr Sicherheitsrisiko genau verstehen und den Wert jedes Vermögenswerts schätzen, den die Sicherheitsinvestition schützen soll. Hier ist die Formel:

Quantitative Risikoanalyseformel zur Berechnung von ROSI

Lassen Sie uns erforschen, wie man jede Komponente in dieser Formel berechnet.

Jährliche Verlust-Erwartung (ALE)

Die jährliche Verlust-Erwartung (ALE) ist der gesamte jährliche monetäre Verlust pro Jahr, der aufgrund eines spezifischen Expositionsfaktors erwartet wird, falls die Sicherheitsinvestition nicht getätigt wird. Um die ALE zu berechnen, multiplizieren wir die Einzelverlust-Erwartung (SLE) mit der jährlichen Eintrittswahrscheinlichkeit (ARO):

Berechnung des ALE

Hier sind die zwei Komponenten der ALE-Formel:

• Single loss expectancy (SLE) ist der Geldbetrag, der bei einem einzelnen Sicherheitsvorfall verloren geht. Um den SLE zu schätzen, müssen Sie Ihre Daten und sonstigen IT-Vermögenswerte inventarisieren und die direkten Kosten (z.B. technische Untersuchungen und rechtliche Strafen) sowie die indirekten Kosten (z.B. Betriebsausfallzeiten und erhöhte Kundenabwanderungsrate) für Schäden oder Verlust dieser Vermögenswerte zusammenrechnen. ­
• Annualized rate of occurrence (ARO) is the estimated frequency or expectancy of a threat striking within a year. This is a straightforward number and you can glean from historical records. For instance, if a certain threat has struck your organization only once in the last 10 years, it has an ARO of 0.1; if a threat occurs about 10 times each year, it has an ARO of 10.

Minderungsverhältnis

Das Minderungsverhältnis ist der Prozentsatz der Risiken, die durch die Sicherheitsinvestition adressiert würden.

Laut Sonnenreich, Albanese und Stout — einigen der ersten Forscher, die sich mit dem Problem der Quantifizierung des Wertes von Sicherheitskontrollen beschäftigt haben — ist es in Ordnung, wenn Ihr Risikominderungsverhältnis nur annähernd ist. Der beste Ansatz besteht darin, die vorhergesagte Anzahl geminderter Risiken basierend auf einem Bewertungsalgorithmus zu beurteilen, den Sie selbst wählen. Selbst wenn die Daten für das ROSI-Modell ungenau sind, wird die Verwendung dieses Algorithmus auf eine wiederholbare und konsistente Weise es Ihnen ermöglichen, den relativen Wert verschiedener Sicherheitsinvestitionen zu vergleichen.

Beispiel

Schätzen wir den ALE und das Minderungsverhältnis für ein fiktives Szenario und verwenden sie, um den ROSI für eine vorgeschlagene Sicherheitsinvestition zu berechnen.

Suppose you know that your file servers have shared folders containing files with sensitive information that are accessible by everyone in your company. You know that this data overexposure increases the risk of data compromise and loss, but you don’t know the exact number or location of the folders. To reduce this risk, your company is considering investing in a solution for discovering sensitive data. To determine whether this investment is justified, you need to do the math.

You predict that if you don’t have the solution, you’ll have an average of 10 security incidents per year (ARO = 10). Each incident could lead to a breach costing around $40,000 in data loss, fines, lost productivity and lost business (SLE = 40,000). Therefore, the ALE is 400,000.

Die vorgeschlagene Lösung zur Datenentdeckung soll das Risiko um 94% mindern (Minderungsverhältnis = 94%). Die geschätzten Kosten für den Kauf und die Verwaltung der Lösung betragen 60.000 US-Dollar.

So you can calculate the using the ROSI formula from above as follows:

Sample ROSI calculation

Using this calculation, you can argue that this investment will save the company about $316,000 ($400,000 * 0.94 – $60,000), for a 526% payback.

You can also use this formula to evaluate the ROSI of an existing investment. Just be sure to conduct an accurate risk assessment and understand your company’s risk exposure.

Modifying the ROSI formula with additional metrics

You can modify the quantitative risk analysis formula by including additional criteria that are industry-specific or just more important for your organization. Here are some examples:

• Risk profile versus industry peers — Comparing your security budget and execution to your peers in your industry can be quite useful. Industry-specific research will help you identify quantitative best practices, learn what threats your peers encounter and how they address them, and see baselines to orient yourself. I advise starting with research conducted by Gartner.
• Compliance status — If your company is subject to a new compliance standard or wants to improve its compliance with an existing one, you should include your compliance status as a factor when evaluating security investments. You can gather this data by conducting regular internal audits to check whether your processes align with the security frameworks mandated by the standard, checking your grades on recent audits, and determining what areas you need to work on.
• Organizational readiness to address incidents — I wrote about security simulations (“war-gaming”) in another blog post. You divide your security pros into two groups: One team attacks your infrastructure and the other group defends it. By conducting these games every once in a while, you will be able to track performance of your team members during the attack, test the effectiveness of your security program and investments, and compare the results you achieve with the previous games. For example, you can look at how much time the team needed to detect and respond to the attack and which individuals performed better and who needs additional training.

Conclusion

Taking the time to calculate ROSI before you make investments and regularly calculating it for existing investments can deliver more benefits than you might think. Accurately calculated, ROSI will give you the actionable and reliable data you need to figure out whether your efforts actually support your IT security strategy and reduce cyber risks, determine whether your current security spending is justified, adjust your budget by reallocating resources to priority issues, or request additional investments.