It is a challenge to calculate the retu on investment for IT and security. ROSI, or retu on security investment, is a modified ROI calculation, where the net benefit is the aual cost of security breaches avoided as compared to the prevention cost incurred. Here is how to calculate your retu on security investments.
ارزش چیزی که اتفاق نمی افتد چیست؟
برای کسانی از ما که هر روز برای سرمایه گذاری ها و فرصت ها ارزش قائل هستیم، این یک چالش بزرگ در هنگام محاسبه بازگشت سرمایه برای فناوری اطلاعات و امنیت است. جای تعجب نیست که این یک منبع اصلی ناامیدی برای همکاران ما در حوزه فناوری اطلاعات و امنیت است که در تلاش برای توجیه هزینه خرید سخت افزار و نرم افزار برای محافظت از سیستم ها، ابزارها و اکوسیستم های دیجیتال ما هستند.
مشکل این است که محاسبات استاندارد برای ارزیابی سرمایه گذاری ها بر اساس جریان نقدی مورد انتظار است، به شکل درآمد کسب شده یا هزینه های اجتناب شده: ROI، NPV و IRR. هزینه کل مالکیت (TCO) معمولاً برای سرمایه گذاری های فناوری اطلاعات استفاده می شود، اما منحصراً بر اساس هزینه ها با مجموع قیمت خرید اولیه به اضافه پشتیبانی مداوم است. ارزش گذاری سرمایه گذاری در امنیت سایبری با استفاده از این روش های رایج دشوار است و باعث ناامیدی در همه طرف های بحث می شود:
کسب و کار: ما کسب و کار را با محصولات و فرآیندهای جدید رشد می دهیم و برای ایمن سازی همه چیز به فناوری اطلاعات تکیه می کنیم. بیایید به آنها پول بدهیم تا ما را ایمن نگه دارند و همه ما بتوانیم به سر کار برگردیم.
مدیر ارشد امنیت اطلاعات (CISO): چقدر می خواهید ایمن باشید؟من می توانم یک پروتکل برای سطوح امنیتی مختلف طراحی کنم، اما با محدودیت هایی در تجربه مشتری و هزینه های متفاوت همراه است. به هر حال، ما هرگز به امنیت 100 درصدی نخواهیم رسید.
شخص مالی: ما سرمایه محدودی داریم، اما می توان مبلغ نامحدودی را صرف امنیت کرد. کدام سرمایه گذاری را انتخاب کنیم؟چیزی که اتفاق نمی افتد چه ارزشی دارد؟
در اینجا یک ابزار برای کمک وجود دارد: ROSI یا بازگشت سرمایه در امنیت. اساساً این یک محاسبه ROI اصلاح شده است، که در آن سود خالص هزینه های جلوگیری از نقض امنیت در مقایسه با هزینه های پیشگیری است. در اینجا با جزئیات بیشتر آمده است:
- ROI = (هزینه امنیتی اجتناب شده - هزینه) / هزینه
- ROI= (زیان مورد انتظار سالانه * نرخ کاهش - هزینه) / هزینه
- ROI = [($Single Loss Expectancy * نرخ وقوع سالانه) * کاهش هزینه] / هزینه
- امید به ضرر و زیان = هزینه برای اصلاح یک مناسبت از ضرر. در شرایط ریسک ، این از دست دادن انتظار یک رویداد واحد است. برخی از هزینه های مستقیم مرتبط با آن ممکن است شامل موارد زیر باشد: مقیاس و دامنه حادثه. داده ها یا دارایی های فیزیکی آسیب دیده یا خریداری شده در هنگام ترمیم ؛هزینه های حقوقی و مشاوره ؛جریمه و خسارت به مشتریان یا احزاب پیمانکار. هزینه های غیرمستقیم ممکن است شامل زمان صرف شده توسط کارمندان اصلاح و کاهش زمان برای تیم تجاری باشد.
- میزان وقوع سالانه = تعداد دفعاتی که این رویداد در یک سال اتفاق می افتد. این ممکن است براساس تجربه قبلی ، معیارها ، استاندارد صنعت یا تخمین باشد. در شرایط خطر ، این احتمال از دست دادن است.
- نرخ کاهش = اثربخشی کنترل هایی که شما در آن سرمایه گذاری می کنید ، همانطور که با بهبود به دست آمده در هر یک از اصطلاحات فوق (شدت کمتر یا احتمال کمتری) اندازه گیری می شود.
- هزینه = یک سال هزینه ، برای مطابقت با یک سال سود پیش بینی شده. اگر مزایا را در طی چندین سال افزایش می دهید ، باید هزینه های مربوطه را فرض کنید.
در حالی که فرمول ساده است ، جمع آوری داده های خوب در مورد از دست دادن نظری یک چالش است. این محاسبه شامل فرضیات بسیاری است (مانند همه موارد تجاری) ، به جز اینکه گذشته ممکن است در ارزیابی تهدیدهای نوظهور از ارزش محدودی برخوردار باشد. این ارزش تلاش را تخریب نمی کند ، بلکه منجر به دو پیامده می شود. اول ، در تلاش های اولیه برای محاسبه ROSI ، مقدار مطلق ممکن است متغیر باشد زیرا تیم ها از طریق جمع آوری داده ها می شوند و راحتی می گیرند. این باید با گذشت زمان بهبود یابد.
دوم ، بیشترین ارزش در گفتگو است. تلاش برای تعیین کمیت سرمایه گذاری های امنیتی ، فرمی را فراهم می کند که مکالمه را فراتر از آن بالا می برد ، "ما به این نیاز داریم" و "این جدول برای حضور در تجارت است."
هر دو دستاورد و تعهدات ملموس برای هر یک از طرفین در بحث وجود دارد: این تجارت می بیند که امنیت خدماتی نیست که باید مانند یک اشتراک برای آن خریداری و پرداخت شود ، بلکه یک سری از سرمایه گذاری های لایه ای است که به تهدیدات خارجی و همچنین بستگی داردتعامل ایجاد شده برای درگیر کردن بازارها. CISO در کنار سایر تصمیم گیرندگان ، صندلی را در جدول سرمایه گذاری به دست می آورد اما باید توضیح دهد که چه سطح امنیت واقع بینانه است و باید سعی در تعیین کمیت ریسک و فرصت ها داشته باشد. و امور مالی راهی برای تعیین کمیت شیوه های خود و مقایسه گزینه ها می گیرد اما برای دستیابی به فرضیات واقع بینانه باید به عمق حفر شود. هر کس با بررسی مبادلات مورد نیاز تجارت ، اشتهای ریسک خود را ارزیابی می کند.
برای بینش بیشتر ، در FP & A در Focus مشترک شوید ، خبرنامه ای که 28000+ متخصص مالی به آن روی می آورند.

چگونه TIS پیش بینی دقیق نقدی را در زمان نامشخص امکان پذیر می کند
در محیط تجاری مدرن ، پیش بینی نقدی یک فعالیت ضروری خزانه داری است. با این حال ، در دوره های عدم اطمینان - چه به دلیل رکود اقتصادی ، یک بیماری همه گیر یا بی ثباتی ژئوپلیتیکی - روند پیش بینی حتی از اهمیت بیشتری برخوردار می شود.
کپی رایت © 2023 انجمن متخصصان مالی ، شرکت کلیه حقوق محفوظ است.

تحت تأثیر MUFG
با تمرکز بر دو محصول اصلی تجارت - نامه های اعتباری و مجموعه های مستند ، وضعیت مالی تجارت را بررسی کنید. چه نوآوری هایی اتخاذ شده است ، و چه موانعی مانع از دیجیتالی شدن عمده فروشی مالی جهانی تجارت می شود؟
ویدیو های آموزشی فارکس...
ما را در سایت ویدیو های آموزشی فارکس دنبال می کنید
برچسب :
نویسنده : محبوب امانی
بازدید : 69
تاريخ : شنبه
9 ارديبهشت
1402 ساعت: 17:32