Como calcular o retorno sobre o investimento em segurança

O Retorno sobre o Investimento em Segurança (ROSI) quantifica quanto uma organização evita de perda através de gastos com cibersegurança, tornando possível justificar orçamentos e avaliar a eficácia da estratégia. Utilizando análise de risco quantitativa, o ROSI inclui a expectativa de perda anualizada, frequência de ameaças, custo de incidente único e taxa de mitigação para estimar economias. Avaliações de risco precisas, considerações de conformidade e prontidão organizacional melhoram os cálculos e ajudam a priorizar investimentos.

Durante minha carreira de mais de 20 anos em TI, estive envolvido em projetos de diversos ângulos. Fui usuário final e consultor; gerenciei tecnologia e também a vendi. Mas, em meio a tudo isso, houve um desafio constante: Como avaliar o retorno sobre o investimento para uma tecnologia que você fornece ou consome.

Minha jornada me levou à segurança da TI, e frequentemente ouço afirmações como: “É difícil medir a eficácia dos investimentos em segurança. É como um seguro: você sabe que precisa dele, mas não consegue atribuir um valor.” No entanto, essa atitude não é aceitável se você quer ser um gestor de TI eficaz. Você precisa absolutamente de um método para calcular com precisão o retorno sobre o investimento em segurança (ROSI), para poder avaliar se a sua estratégia de cibersegurança está atingindo os objetivos do seu departamento e da sua organização e, se necessário, argumentar a favor de um orçamento adicional. Neste post do blog, descrevo como calcular o ROSI.

Retorno clássico sobre o investimento

O retorno sobre investimento (ROI) é um índice de rentabilidade para um investimento específico. Ajuda a determinar se você deve realizar uma compra ou não, ou como um determinado investimento se saiu até o momento.

A maneira mais simples de calcular o ROI é quantificar algum tipo de “retorno” ou “benefício” e dividir pelo “investimento” ou “custo”:

Calculando o ROI

Por que o ROI clássico não funciona para retorno sobre investimento em segurança

Esta equação de ROI funciona apenas para investimentos que geram resultados positivos, como economia de custos ou aumento de receitas. Mas o que é um investimento em segurança? Esse tipo de investimento não aumenta diretamente as receitas nem oferece retorno imediato; em vez disso, investimentos em segurança são sobre gestão de risco que resulta na prevenção de perdas e na mitigação de riscos. Assim, um cálculo de ROSI deve indicar quanto de perda a organização poderia evitar devido ao investimento em segurança, portanto, precisamos de uma fórmula diferente.

Escolhendo as métricas certas para ROSI

Antes de mergulharmos em como calcular o ROSI, é importante garantir que o processo seja prático e forneça resultados confiáveis e acionáveis. É essencial certificar-se de que suas métricas sejam:

• Fácil de reunir com regularidade. Se custar muito tempo ou dinheiro para reunir os dados necessários, o cálculo do ROSI rapidamente se tornará um fardo e superará qualquer benefício percebido.
• Relevante para o seu negócio e os riscos que ele enfrenta.
• Relativamente preciso. Uma vez que você está estimando ameaças que podem atingir sua empresa, seus cálculos não serão 100% precisos. Aceite isso e faça o melhor que puder.

Calculando o ROSI — a fórmula de análise quantitativa de risco

O SANS Institute oferece uma fórmula de quantitative risk analysis formula para estimar o ROSI que foi amplamente adotada. Diferente das fórmulas simples de ROI, ela é baseada na sua avaliação dos riscos específicos que um determinado investimento em segurança irá abordar. Portanto, você precisa entender claramente sua exposição ao risco de segurança e estimar o valor de cada ativo que o investimento em segurança visa proteger. Aqui está a fórmula:

Fórmula de análise de risco quantitativa para calcular o ROSI

Vamos explorar como calcular cada um dos componentes nesta fórmula.

Expectativa de perda anualizada (ALE)

A expectativa de perda anualizada (ALE) é a perda monetária total anual esperada por ano resultante de um fator de exposição específico se o investimento em segurança não for realizado. Para calcular o ALE, multiplicamos a expectativa de perda única (SLE) pela taxa anualizada de ocorrência (ARO):

Calculando ALE

Aqui estão os dois componentes da fórmula ALE:

• A expectativa de perda única (SLE) é a quantia de dinheiro que será perdida em um único incidente de segurança. Para estimar o SLE, você precisa inventariar seus dados e outros ativos de TI e somar os custos diretos (por exemplo, investigações técnicas e penalidades legais) e indiretos (por exemplo, tempo de inatividade do negócio e aumento da taxa de perda de clientes) de danos ou perda desses ativos. ­
• Taxa anualizada de ocorrência (ARO) é a frequência estimada ou expectativa de uma ameaça atingir dentro de um ano. Este é um número direto e você pode obter a partir de registros históricos. Por exemplo, se uma determinada ameaça atingiu sua organização apenas uma vez nos últimos 10 anos, ela tem um ARO de 0,1; se uma ameaça ocorre cerca de 10 vezes a cada ano, ela tem um ARO de 10.

Taxa de mitigação

A taxa de mitigação é a porcentagem de riscos que o investimento em segurança abordaria.

De acordo com Sonnenreich, Albanese e Stout — alguns dos primeiros pesquisadores a abordar o problema de quantificar o valor dos controles de segurança — não há problema se a sua taxa de mitigação de riscos for aproximada. A melhor abordagem é avaliar o número previsto de riscos mitigados com base em um algoritmo de pontuação que você escolher. Mesmo que os dados para o modelo ROSI sejam imprecisos, usar esse algoritmo de maneira repetível e consistente permitirá que você compare o valor relativo de diferentes investimentos em segurança.

Exemplo

Vamos estimar o ALE e a taxa de mitigação para um cenário fictício e usá-los para calcular o ROSI para um investimento de segurança proposto.

Suponha que você saiba que seus servidores de arquivos têm pastas compartilhadas contendo arquivos com informações sensíveis que são acessíveis por todos na sua empresa. Você sabe que essa superexposição de dados aumenta o risco de comprometimento e perda de dados, mas você não conhece o número exato ou a localização das pastas. Para reduzir esse risco, sua empresa está considerando investir em uma solução para descobrir dados sensíveis. Para determinar se esse investimento é justificado, você precisa fazer as contas.

Você prevê que, se não tiver a solução, terá em média 10 incidentes de segurança por ano (ARO = 10). Cada incidente pode levar a uma violação que custa cerca de $40,000 em perda de dados, multas, produtividade perdida e negócios perdidos (SLE = 40,000). Portanto, o ALE é 400,000.

A solução proposta de descoberta de dados deve mitigar esse risco em 94% (taxa de mitigação = 94%). O custo estimado para aquisição e gerenciamento da solução é de 60.000 dólares.

Então você pode calcular usando a fórmula ROSI acima da seguinte forma:

Cálculo de ROSI de exemplo

Usando este cálculo, pode-se argumentar que este investimento economizará cerca de $316,000 ($400,000 * 0.94 – $60,000) para a empresa, resultando em um retorno de 526%.

Você também pode usar esta fórmula para avaliar o ROSI de um investimento existente. Apenas certifique-se de realizar uma avaliação de risco precisa e entender a exposição ao risco da sua empresa.

Modificando a fórmula ROSI com métricas adicionais

Você pode modificar a fórmula de análise de risco quantitativo incluindo critérios adicionais que são específicos da indústria ou simplesmente mais importantes para a sua organização. Aqui estão alguns exemplos:

• Perfil de risco versus pares do setor — Comparar seu orçamento de segurança e execução com os seus pares no seu setor pode ser bastante útil. Pesquisas específicas do setor ajudarão você a identificar melhores práticas quantitativas, aprender quais ameaças seus pares encontram e como eles as abordam, e ver referências para se orientar. Aconselho começar com pesquisas realizadas pela Gartner.
• Status de conformidade — Se a sua empresa está sujeita a um novo padrão de conformidade ou deseja melhorar sua conformidade com um padrão existente, você deve incluir o status de conformidade como um fator ao avaliar investimentos em segurança. Você pode coletar esses dados realizando auditorias internas regulares para verificar se seus processos estão alinhados com os frameworks de segurança exigidos pelo padrão, verificando suas notas em auditorias recentes e determinando quais áreas precisa trabalhar.
• Prontidão organizacional para lidar com incidentes — Escrevi sobre simulações de segurança (“jogos de guerra”) em outro post no blog. Você divide seus profissionais de segurança em dois grupos: um time ataca sua infraestrutura e o outro defende. Ao realizar esses jogos de vez em quando, você poderá acompanhar o desempenho dos membros da sua equipe durante o ataque, testar a eficácia do seu programa de segurança e investimentos, e comparar os resultados alcançados com os jogos anteriores. Por exemplo, você pode observar quanto tempo a equipe precisou para detectar e responder ao ataque e quais indivíduos se saíram melhor e quem precisa de treinamento adicional.

Conclusão

Dedicar tempo para calcular o ROSI antes de fazer investimentos e calculá-lo regularmente para investimentos existentes pode trazer mais benefícios do que você imagina. Calculado de maneira precisa, o ROSI fornecerá os dados acionáveis e confiáveis de que você precisa para descobrir se seus esforços realmente apoiam sua estratégia de segurança de TI e reduzem os riscos cibernéticos, determinar se os gastos atuais com segurança são justificados, ajustar seu orçamento realocando recursos para questões prioritárias ou solicitar investimentos adicionais.