IT-säkerhetsspecialist Jonathan James

Jag höll ett föredrag under Atea Bootcamp som bland annat handlade om säkerhetsinvesteringar och ROSI (Return On Security Investment). Här nedan gör jag en kort version av hur jag resonerar kring hur man bör beräkna och motivera säkerhetsinvesteringen.

Vilka kostnader bör beaktas i det fall en säkerhetsincident inträffar?
1) Produktionsbortfall (ofta största kostnaden)
2) Åtgärdskostnad
3) Påverkan på övrig verksamhet (exempelvis framflyttning av planerade IT-implementationer, supportärenden osv)

Andra konsekvenser som en IT-säkerhetsincident kan få för verksamheten
- Varumärkesskada (dålig publicitet, minskat förtroende från kunder etc)
- Kundflykt (beroende av verksamhetens art, en onlinehandlare förlorar snabbt kunder)

Beräkning av produktionsbortfall

Exempel:
1000 medarbetare, 700 arbetar dagligen mot kunder
Arbetet är datorbundet, fungerar inte datorerna kan man inte utföra arbete.
Genomsnittspris per timme är 800 SEK
Beläggningsgraden är i snitt 75%
Företaget infekteras av en saboterande trojan, produktionen står mer eller mindre
stilla i sammanlagt en veckas tid.

Kostnad_Produktionsbortfall = Medarbetare * (Genomsnittspris *((arbetsdagar* timmar_per_dag) * beläggningsgrad))
700 * (800*((5*8)*0,75)) = 16 800 000 SEK

Beräkning av möjlig åtgärdskostnad

Det är inte ovanligt att man räknar med runt 1000 SEK per infekterad dator när man pratar virus eller trojaninfektioner. I kostnaden ryms konsulttid för olika typer av åtgärder såsom manuell rensning, ominstallationer av klienter, återvinning av data, felsökning och efterarbete.

ROSI

Eftersom en säkerhetsinvestering i sig inte genererar några pengar för verksamheten så kan man i detta sammanhang inte tala om någon ROI. Dock är en väl gjord säkerhetsinvestering en kostnadsbesparande insats som kan räknas hem genom att man räknar på den årliga genomsnittskostnaden för IT-säkerhetsincidenter.
ROSI går i kort ut på att man räknar fram den årliga kostnaden, multiplicerar kostnaden med den procentuella förändring i riskexponering som en säkerhetsinvestering ger, subtraherar vad säkerhetsinvesteringen kostar och delar sedan denna summa med kostnaden för säkerhetsinvesteringen.

ROSI = ((Risk Exposure * % Risk Mitigated) – Solution cost) / Solution cost

Exempel:
Vi räknar på en femårsperiod att vår verksamhet åtminstone vid två tillfällen kommer att utsättas för större incidenter vilken får konsekvenser för verksamheten. För att återgå till det exempel jag nämnde tidigare med sammanlagt en veckas stillastående på grund av en trojanattack så säker vi att kostnaden i produktionsbortfall
blir 33 600 000 SEK över en femårsperiod.
Kotnad_Produktionsbortfall_per_klient_och_år = (33 600 000 / 5) / 1000

Den årliga avsättningen per klient/dator (1000 klienter) bör då i runda slängar ligga runt 6000 SEK.

Till detta kommer åtgärdskostnader som vi estimerar till totalt ca 1 000 000 SEK per incident, alltså 2 000 000 SEK totalt för båda incidenter som vi räknar med under en femårsperiod.

Totalt kostar åtgärderna för de störra incidenterna runt 400 SEK per klient och år - detta är dock inte att förväxla med någon total förvaltningskostnad vad gäller IT-säkerhetsarbetet kring företagets klienter. Detta täcker alltså bara de större incidenterna.

Totalt hamnar vi på en kostnad som ligger på 6 400 SEK per klient och år.
Antingen gör man en avsättning på motsvarande summa per år och klient eller så bestämmer man sig för att bespara företaget denna årliga avsättning genom att sätta upp en budget för ett proaktivt IT-säkerhetsarbete.

Ofta brukar IT-säkerhetsbudgeten sättas till runt 10-20% av den totala IT-budgeten (Källa: Forrester Research, Microsoft, PwC CSO Magazine). Dock är denna andel mycket beroende av vilken verksamhet man bedriver samt vad som ska skyddas. Bedriver man en verksamhet som står och faller med sitt IT-säkerhetsskydd så kan denna kvot vara mycket större.

< Föregående		Nästa >