Redactie - 10 maart 2022

Maak de waarde van security-investeringen inzichtelijk met ROSI

Maak de waarde van security-investeringen inzichtelijk met ROSI image

Het aantal wereldwijde cyberaanvallen neemt jaarlijks toe. Het is niet de vraag óf bedrijven moeten investeren in cybersecurity, maar hoeveel. Wanneer is een security-investering de moeite waard en wanneer niet? De directie verwacht daarvoor van de CIO of CISO een duidelijke onderbouwing. Daar worstelen CIO’s en CISO’s mee, zo blijkt uit onderzoek van PwC. Begrijpelijk, want een investering in security kost in de regel vooral geld en levert geen directe euro’s op. Het zorgt er hooguit voor dat je niet onnodig veel geld verliest. Hoe kunnen bedrijven dan toch een goede inschatting maken of een security-investering welbesteed is of niet? Belangrijk is om een zo nauwkeurig mogelijke berekening te maken van de risico’s die jouw organisatie loopt en hierop je investeringen en budgetten af te stemmen. De calculatiemethode ROSI kan je helpen om dit te kwantificeren en rationaliseren.

Wat is ROSI?

ROSI staat voor Return On Security Investment en is een afgeleide van het bekendere ROI (Return on Investment). Het verschil tussen beide is dat ROSI, in beginsel niet uitgaat van een economische winst die een investering oplevert, maar van een minder groot verwacht verlies. Het helpt je rationaliseren of een security-investering gerechtvaardigd is of niet.

Welke cijfers heb je nodig voor ROSI?

Natuurlijk maakt je organisatie van diverse security-oplossingen gebruik om zich beter te wapenen tegen cyberincidenten. Een van die oplossingen is een security awareness-programma. Aanvallen door middel van social engineering, zoals phishing, zijn in bijna 90% van de gevallen de oorzaak van een incident. Een security awareness-trainingsprogramma helpt je medewerkers in het herkennen van dit soort aanvalstactieken. En dat draagt eraan bij dat je organisatie jaarlijks met minder incidenten te maken krijgt.

Uit onderzoek blijkt dat het risico op cyberincidenten in een organisatie afneemt met 45% tot wel 70% wanneer medewerkers beter getraind zijn in veiligheidsbewustzijn. Dit betekent dus ook dat je minder kosten maakt om cyberincidenten af te handelen en gedurende een jaar dus minder verlies lijdt. Dit percentage (%) verminderd risico door de implementatie van een security-oplossing vormt de basis van de je ROSI-berekening.

In tweede instantie bereken je het verwachte verlies dat je jaarlijks lijdt als gevolg van cyberincidenten. Dit doe je door zo nauwkeurig mogelijk alle kosten te berekenen die kunnen ontstaan als gevolg van een cyberincident. Dit kunnen directe kosten zijn die te maken hebben met het vervangen van hardware of het herstellen van gegevens, maar ook indirecte kosten zoals het verlies van productiviteit van medewerkers of het inhuren van externe cyber experts.

Ten slotte moet je alleen nog weten hoeveel je jaarlijks investeert in je security-awareness-programma. Denk hierbij aan de totale licentiekosten per gebruiker, maar ook aan het inhuren van consultants die je security-awareness-programma helpen inrichten. Die kosten trek je af van je verwachte financiële voordeel en deel je vervolgens door de investeringskosten.

Hoe bereken je ROSI?

Nu je weet welk verminderd risico je loopt, welke verwachte kosten je per cyberincident maakt en welke investering je hebt gedaan voor een security-oplossing kom je tot de volgende berekening van ROSI:

Stap 1

Percentage verminderd risico * aantal cyberincidenten per jaar * de kosten van een cyberincident = verminderde kosten per jaar

Stap 2

(verminderde kosten per jaar – jaarlijkse kosten security-awareness-programma) / (jaarlijkse kosten security awareness-programma) * 100 % = ROSI

De ROSI helpt je te berekenen of je jaarlijkse investering in een security awareness-trainingsprogramma zich door de verminderde kosten dankzij datzelfde programma zal terugbetalen. Dit helpt je de investering bij je directie te verantwoorden. Het model is niet alleen toepasbaar op security awareness, maar op al je security-inversteringen. Het stelt je dus in staat om op uniforme en duidelijke wijze een investeringsbeleid op te stellen. Een realistisch beleid dat passend is bij wat je organsatie aan risico’s accepteert en dus ook bij hoeveel je organisatie uit wil geven om deze te borgen.

Door: Jelle Wieringa (foto), Security Awareness Advocate bij KnowBe4

Copaco | BW 25 maart tm 31 maart 2024 Trend Micro BW BN week 10-11-13-14-2024
Copaco | BW 25 maart tm 31 maart 2024