การคำนวน Return on Security Investment (ROSI) เป็นวิธีในการประเมินคุ้มค่าของการลงทุนในมาตรการความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ โดยอาศัยค่าต้นทุนและประโยชน์ที่จะได้รับ ซึ่งปัจจัยที่สำคัญสองอย่างคือการประหยัดจากการลงทุน (SLE x ARO) และค่าต้นทุนของมาตรการรักษาความมั่นคงปลอดภัย (C)
โดยสูตรของ ROSI มีดังนี้
ROSI=((SLE×ARO)−C)/C
โดยที่:
- SLE (Single Loss Expectancy) : ความสูญเสียทางการเงินเฉลี่ยที่คาดว่าจะเกิดขึ้นในแต่ละเหตุการณ์
- ARO (Annualized Rate of Occurrence) : ความถี่ที่คาดว่าเหตุการณ์จะเกิดขึ้นในหนึ่งปี
- C : ค่าต้นทุนของมาตรการรักษาความมั่นคงปลอดภัย
ตัวอย่างการหา ROSI ใน 3 กรณียอดฮิต
1.Ransomware:
- ค่าความสูญเสียจากการถูก ransomware (SLE) คือ 25,000,000 บาท
- คาดว่าจะถูกโจมตี 2 ครั้งต่อปี (ARO = 2)
- ค่าต้นทุนของมาตรการความปลอดภัยคือ 5,00,000 บาท (C)
ROSI=((25,000,000×2)−5,000,000)/5,000,000=9
2.Phishing:
- ค่าความสูญเสียจากการถูก phishing (SLE) คือ 1,000,000 บาท
- คาดว่าจะถูกโจมตี 5 ครั้งต่อปี (ARO = 5)
- ค่าต้นทุนของมาตรการความปลอดภัยคือ 500,000 บาท (C)
ROSI=((1,000,000×5)−500,000)/500,000=9
3.Web Defacement:
- ค่าความสูญเสียจากการถูก Web defacement (SLE) คือ 5,000,000 บาท
- คาดว่าจะถูกโจมตี 1 ครั้งต่อปี (ARO = 1)
- ค่าต้นทุนของมาตรการความปลอดภัยคือ 300,000 บาท (C)
ROSI=((5,000,000×1)−300,000)/300,000=15.67
ดังนั้น ROSI จากการลงทุนในมาตรการรักษาความมั่นคงปลอดภัยสำหรับการป้องกัน Web defacement คือ 15.67 หมายถึงการลงทุน 1 บาทมีผลตอบแทน 15.67 บาท ในเชิงของการป้องกันความเสียหายจากการโจมตี
อ่านค่า ROSI อย่างไร
จากตัวอย่างด้านบน ค่า ROSI ที่มากกว่า 0 หมายความว่าการลงทุนในมาตรการความปลอดภัยนั้นคุ้มค่า สำหรับทั้งสามตัวอย่าง มี ROSI เป็นบวกดังนั้นการลงทุนในมาตรการรักษาความมั่นคงปลอดภัยในทั้งสามกรณีนั้นคุ้มค่า
หากค่า ROSI เป็นบวก (มากกว่า 0) แสดงว่าการลงทุนในมาตรการรักษาความมั่นคงปลอดภัยมีประโยชน์มากกว่าค่าต้นทุนที่ลงไป ซึ่งหมายความว่ามาตรการรักษาความมั่นคงปลอดภัยนั้นคุ้มค่าที่จะลงทุน
หาก ROSI เท่ากับ:
- มากกว่า 0: การลงทุนในมาตรการรักษาความมั่นคงปลอดภัยนั้นคุ้มค่า
- เท่ากับ 0: ประโยชน์ที่ได้รับจากมาตรการรักษาความมั่นคงปลอดภัยนั้นเท่ากับค่าต้นทุนที่ใช้ไป
- น้อยกว่า 0: การลงทุนในมาตรการรักษาความมั่นคงปลอดภัยไม่คุ้มค่า ซึ่งอาจหมายถึงว่าความเสี่ยงที่คาดการณ์ไว้น้อยกว่าความเสียหายที่จะเกิดขึ้นจริง หรือค่าต้นทุนของมาตรการรักษาความมั่นคงปลอดภัยสูงเกินไป
เมื่อคำนวณ ROSI จะช่วยให้ผู้บริหารหรือผู้ตัดสินใจเข้าใจเกี่ยวกับประโยชน์ที่ได้รับจากการลงทุนในมาตรการรักษาความมั่นคงปลอดภัย และทำให้สามารถตัดสินใจได้ตามความเสี่ยงและค่าต้นทุนที่เกี่ยวข้อง
ทำอย่างไรจะทำให้ค่า ROSI มีความแม่นยำที่ค่อนข้างสูง
อย่างไรก็ตาม การกำหนดค่า ARO (Annualized Rate of Occurrence) และ SLE (Single Loss Expectancy) ให้แม่นยำเป็นสิ่งที่ท้าทาย เพราะมันขึ้นอยู่กับหลายปัจจัย แต่มีวิธีดังนี้ที่ช่วยให้คำนวณเพิ่มความแม่นยำได้
1. การศึกษาและวิเคราะห์ข้อมูลในอดีต: หากมีข้อมูลเกี่ยวกับการเกิดเหตุการณ์ไม่พึงประสงค์ในอดีต เช่น รายงานข้อผิดพลาด การโจมตี หรือการฝ่าฝืนนโยบาย ข้อมูลเหล่านี้สามารถนำมาช่วยคำนวณ ARO ได้
2. การสำรวจและสอบถาม: สอบถามหรือสำรวจข้อมูลจาก เจ้าหน้าที่ความมั่นคงปลอดภัยในองค์กรเพื่อรับความเห็นและประสบการณ์เกี่ยวกับความเสี่ยง
3. การใช้ข้อมูลจากแหล่งข้อมูลภายนอก: มีแหล่งข้อมูลเช่นรายงานการวิจัย สถิติ และรายงานเกี่ยวกับความมั่นคงปลอดภัยที่สามารถนำมาช่วยกำหนดค่า ARO และ SLE
4. การประเมินค่าทรัพย์: สำหรับ SLE คำนวณค่าทรัพย์ที่อาจถูกคุกคาม เช่น ข้อมูลลูกค้า ข้อมูลส่วนบุคคล ข้อมูลเชิงการค้า หรือระบบ IT แล้วคำนวณความเสียหายที่คาดว่าจะเกิดขึ้นเมื่อทรัพย์สินนั้นถูกคุกคาม
5.การวิเคราะห์แบบการจำลอง: ใช้เครื่องมือหรือซอฟต์แวร์เฉพาะที่ช่วยในการประมาณการความเสี่ยงและความเสียหายที่เกิดขึ้น
6.การปรับปรุงและตรวจสอบทบทวน: หลังจากกำหนดค่า ARO และ SLE แล้ว ควรทบทวนและปรับปรุงเป็นประจำ โดยเฉพาะเมื่อมีการเปลี่ยนแปลงในสภาพแวดล้อมหรือเกิดเหตุการณ์ความปลอดภัยที่สำคัญ