Хотя окупаемость инвестиций в кибербезопасность, как известно, сложно оценить количественно, организации все равно могут оценить ее ценность с помощью этих трех подходов.

Измерение большинства типов окупаемости инвестиций (ROI) относительно просто: вы сравниваете стоимость потраченных средств с ценностью того, что вы получили взамен.

Однако расчет ROI в кибербезопасность представляет собой большую проблему: не всегда ясно, какую ценность создают инвестиции в кибербезопасность, поскольку, когда инвестиции эффективны, ничего не происходит — то есть не происходит никаких нарушений безопасности. И вы не можете легко количественно оценить денежную стоимость ничего.

Но это не значит, что невозможно измерить рентабельность инвестиций в кибербезопасность осмысленным образом. Цифры всегда могут быть немного более туманными, чем более конкретные формы рентабельности инвестиций, но тем не менее компании могут — и должны — попытаться определить, какую денежную стоимость приносят их инвестиции в кибербезопасность.

Почему сложно рассчитать окупаемость инвестиций в кибербезопасность

Подсчитать общую стоимость инвестиций в кибербезопасность, которые долгое время были в верхней части приоритетов расходов на ИТ большинства компаний , достаточно просто. Это подразумевает суммирование стоимости аппаратных ресурсов, программных инструментов и персонала (включая как внутренних сотрудников, так и любые аутсорсинговые услуги кибербезопасности), которые организация использует для снижения рисков безопасности.

Но определение того, какую ценность приносят эти инвестиции, — вот где все становится сложным. Это в первую очередь потому, что, опять же, цель инвестиций в кибербезопасность — предотвратить возникновение нарушений, а когда нарушений не происходит, то нет и количественной стоимости, которую можно было бы измерить.

Вместо этого, лучшее, что может сделать бизнес для расчета ROI в контексте кибербезопасности, это оценить, сколько нарушений они бы испытали, если бы не инвестировали в кибербезопасность, и общую стоимость этих нарушений. Это крайне нематериальные цифры, поскольку невозможно узнать, какие нарушения могли произойти, и в равной степени невозможно установить точную стоимость нарушения, которое никогда не происходило.

Эти факторы делают ROI в кибербезопасности изначально более сложным для количественной оценки, чем большинство других форм ROI. Для других типов ROI наиболее значимая трудность, с которой обычно сталкиваются организации, — это определение того, какие результаты приписывать каким инвестициям; например, при расчете ROI в маркетинге не всегда ясно, какие покупки были мотивированы какими маркетинговыми кампаниями. Но, по крайней мере, у маркетологов все еще есть реальные, ощутимые результаты, которые они могут отслеживать. У команд по кибербезопасности их нет.

Подходы к измерению рентабельности инвестиций в кибербезопасность

Тот факт, что расчет ROI в кибербезопасность простым способом сложен, не означает, что не стоит пытаться проводить этот тип измерения или что не существует значимых способов зафиксировать ценность, создаваемую расходами на кибербезопасность. Доступно несколько методов.

1. Расчет гипотетической стоимости нарушений на основе исторических данных

Во-первых, компании, которые в прошлом сталкивались со взломами, могут определить, сколько стоят эти инциденты, а затем использовать эту цифру в качестве основы для расчета выгоды, созданной за счет предотвращения подобных нарушений благодаря инвестициям в кибербезопасность.

Например, представьте себе компанию, которая в среднем сталкивается с одним нарушением в год в течение пятилетнего периода, с общей стоимостью одного нарушения в размере 10 миллионов долларов. Если в течение следующих пяти лет компания сталкивается в среднем только с 0,5 нарушениями в год благодаря усиленной кибербезопасности, можно сделать вывод, что рентабельность инвестиций в кибербезопасность составила 5 миллионов долларов в год.

Недостатком такого подхода является то, что исторические данные не всегда точно отражают текущий риск или стоимость нарушения, поэтому снижение количества нарушений не всегда можно однозначно отнести на счет инвестиций в кибербезопасность.

2. Расчет гипотетической стоимости нарушений на основе данных, полученных другими компаниями.

Вместо того, чтобы оценивать частоту и стоимость нарушений на основе исторических данных, характерных для вашего бизнеса, вы можете взглянуть на данные о текущих тенденциях в области кибербезопасности для других компаний, похожих на вашу, принимая во внимание такие факторы, как их регион, тип отрасли, в которой они работают, и их размер. Эти данные дают представление о том, насколько вероятно, что ваш тип бизнеса столкнется с нарушением и сколько это нарушение, скорее всего, будет стоить.

Например, если в среднем в текущем году в аналогичных компаниях произошло два нарушения с общим ущербом в 20 миллионов долларов (или 10 миллионов долларов за нарушение), а в вашей компании произошло только одно нарушение, можно сделать вывод, что вы сэкономили 10 миллионов долларов.

Проблема здесь, конечно, в том, что тенденции в области кибербезопасности, которые влияют на другие компании, могут не влиять на вашу. Меньшее количество нарушений в определенном году может означать, что вам просто повезло, а не то, что ваши инвестиции в кибербезопасность принесли высокую прибыль.

3. Измерение рентабельности инвестиций в кибербезопасность по стоимости нарушений, которые вы не предотвратили

Третий подход заключается в измерении ROI в кибербезопасности с точки зрения ценности, которую вы не создаете из-за нарушений, которые происходят. Это фактически обратная форма ROI в кибербезопасности.

Например, если в настоящее время ваша компания тратит 1 миллион долларов в год на кибербезопасность и сталкивается с нарушениями, которые обходятся в общей сложности в 10 миллионов долларов в год, ваша обратная окупаемость инвестиций в кибербезопасность составляет 10 миллионов долларов — это сумма денег, которую вы теряете в год, когда тратите 1 миллион долларов на кибербезопасность.

Используя эти данные, вы можете спрогнозировать, сколько денег вы сэкономите за счет дополнительных расходов на кибербезопасность. Например, если $1 млн инвестиций в настоящее время приводит к $10 млн затрат, вы можете подсчитать, что удвоение ваших расходов до $2 млн снизит стоимость взлома до $5 млн.

Ограничение этого метода в том, что он фактически не измеряет созданную стоимость; он измеряет потерянную стоимость. Кроме того, нет гарантии, что ставки расходов на кибербезопасность и частота или стоимость нарушений будут увеличиваться и уменьшаться по фиксированным ставкам; вы можете удвоить стоимость своих инвестиций, только чтобы обнаружить, что они уменьшат ваши расходы всего на 20%, например, вместо того, чтобы сократить их вдвое.

Тем не менее, этот метод, по крайней мере, дает вам ощутимые цифры, с которыми можно работать по обе стороны уравнения, поскольку ваши общие расходы на кибербезопасность и общие затраты на взломы являются окончательными точками данных, которые вы можете измерить простым способом.

Заключение: грязный бизнес окупаемости инвестиций в кибербезопасность

Независимо от того, какой подход вы выберете (а для многих компаний имеет смысл использовать несколько методов одновременно), полученные вами показатели ROI в кибербезопасности будут в лучшем случае неидеальными. Но они, тем не менее, представляют ценность для вашего бизнеса, поскольку кибербезопасность может быть довольно дорогой, и крайне важно знать, какие инвестиции в этой сфере работают, а какие нет — особенно в эпоху, когда значительная часть ИТ-бюджетов сокращается , что делает максимизацию ценности каждого доллара, вложенного в безопасность, более важной, чем когда-либо.