top of page

เลิกว้าวุ่นกับการ defense งบด้าน Security กับผู้บริหารด้วย ROSI

อัปเดตเมื่อ 9 ต.ค. 2566



การคำนวน Return on Security Investment (ROSI) เป็นวิธีในการประเมินคุ้มค่าของการลงทุนในมาตรการความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ โดยอาศัยค่าต้นทุนและประโยชน์ที่จะได้รับ ซึ่งปัจจัยที่สำคัญสองอย่างคือการประหยัดจากการลงทุน (SLE x ARO) และค่าต้นทุนของมาตรการรักษาความมั่นคงปลอดภัย (C)

โดยสูตรของ ROSI มีดังนี้

ROSI=((SLE×ARO)−C)/C

โดยที่:

- SLE (Single Loss Expectancy) : ความสูญเสียทางการเงินเฉลี่ยที่คาดว่าจะเกิดขึ้นในแต่ละเหตุการณ์

- ARO (Annualized Rate of Occurrence) : ความถี่ที่คาดว่าเหตุการณ์จะเกิดขึ้นในหนึ่งปี

- C : ค่าต้นทุนของมาตรการรักษาความมั่นคงปลอดภัย

ตัวอย่างการหา ROSI ใน 3 กรณียอดฮิต

1.Ransomware:

- ค่าความสูญเสียจากการถูก ransomware (SLE) คือ 25,000,000 บาท

- คาดว่าจะถูกโจมตี 2 ครั้งต่อปี (ARO = 2)

- ค่าต้นทุนของมาตรการความปลอดภัยคือ 5,00,000 บาท (C)

ROSI=((25,000,000×2)−5,000,000)/5,000,000=9

2.Phishing:

- ค่าความสูญเสียจากการถูก phishing (SLE) คือ 1,000,000 บาท

- คาดว่าจะถูกโจมตี 5 ครั้งต่อปี (ARO = 5)

- ค่าต้นทุนของมาตรการความปลอดภัยคือ 500,000 บาท (C)

ROSI=((1,000,000×5)−500,000)/500,000=9

3.Web Defacement:

- ค่าความสูญเสียจากการถูก Web defacement (SLE) คือ 5,000,000 บาท

- คาดว่าจะถูกโจมตี 1 ครั้งต่อปี (ARO = 1)

- ค่าต้นทุนของมาตรการความปลอดภัยคือ 300,000 บาท (C)

ROSI=((5,000,000×1)−300,000)/300,000=15.67

ดังนั้น ROSI จากการลงทุนในมาตรการรักษาความมั่นคงปลอดภัยสำหรับการป้องกัน Web defacement คือ 15.67 หมายถึงการลงทุน 1 บาทมีผลตอบแทน 15.67 บาท ในเชิงของการป้องกันความเสียหายจากการโจมตี

อ่านค่า ROSI อย่างไร


จากตัวอย่างด้านบน ค่า ROSI ที่มากกว่า 0 หมายความว่าการลงทุนในมาตรการความปลอดภัยนั้นคุ้มค่า สำหรับทั้งสามตัวอย่าง มี ROSI เป็นบวกดังนั้นการลงทุนในมาตรการรักษาความมั่นคงปลอดภัยในทั้งสามกรณีนั้นคุ้มค่า

หากค่า ROSI เป็นบวก (มากกว่า 0) แสดงว่าการลงทุนในมาตรการรักษาความมั่นคงปลอดภัยมีประโยชน์มากกว่าค่าต้นทุนที่ลงไป ซึ่งหมายความว่ามาตรการรักษาความมั่นคงปลอดภัยนั้นคุ้มค่าที่จะลงทุน

หาก ROSI เท่ากับ:

- มากกว่า 0: การลงทุนในมาตรการรักษาความมั่นคงปลอดภัยนั้นคุ้มค่า

- เท่ากับ 0: ประโยชน์ที่ได้รับจากมาตรการรักษาความมั่นคงปลอดภัยนั้นเท่ากับค่าต้นทุนที่ใช้ไป

- น้อยกว่า 0: การลงทุนในมาตรการรักษาความมั่นคงปลอดภัยไม่คุ้มค่า ซึ่งอาจหมายถึงว่าความเสี่ยงที่คาดการณ์ไว้น้อยกว่าความเสียหายที่จะเกิดขึ้นจริง หรือค่าต้นทุนของมาตรการรักษาความมั่นคงปลอดภัยสูงเกินไป

เมื่อคำนวณ ROSI จะช่วยให้ผู้บริหารหรือผู้ตัดสินใจเข้าใจเกี่ยวกับประโยชน์ที่ได้รับจากการลงทุนในมาตรการรักษาความมั่นคงปลอดภัย และทำให้สามารถตัดสินใจได้ตามความเสี่ยงและค่าต้นทุนที่เกี่ยวข้อง

ทำอย่างไรจะทำให้ค่า ROSI มีความแม่นยำที่ค่อนข้างสูง

อย่างไรก็ตาม การกำหนดค่า ARO (Annualized Rate of Occurrence) และ SLE (Single Loss Expectancy) ให้แม่นยำเป็นสิ่งที่ท้าทาย เพราะมันขึ้นอยู่กับหลายปัจจัย แต่มีวิธีดังนี้ที่ช่วยให้คำนวณเพิ่มความแม่นยำได้

1. การศึกษาและวิเคราะห์ข้อมูลในอดีต: หากมีข้อมูลเกี่ยวกับการเกิดเหตุการณ์ไม่พึงประสงค์ในอดีต เช่น รายงานข้อผิดพลาด การโจมตี หรือการฝ่าฝืนนโยบาย ข้อมูลเหล่านี้สามารถนำมาช่วยคำนวณ ARO ได้

2. การสำรวจและสอบถาม: สอบถามหรือสำรวจข้อมูลจาก เจ้าหน้าที่ความมั่นคงปลอดภัยในองค์กรเพื่อรับความเห็นและประสบการณ์เกี่ยวกับความเสี่ยง

3. การใช้ข้อมูลจากแหล่งข้อมูลภายนอก: มีแหล่งข้อมูลเช่นรายงานการวิจัย สถิติ และรายงานเกี่ยวกับความมั่นคงปลอดภัยที่สามารถนำมาช่วยกำหนดค่า ARO และ SLE

4. การประเมินค่าทรัพย์: สำหรับ SLE คำนวณค่าทรัพย์ที่อาจถูกคุกคาม เช่น ข้อมูลลูกค้า ข้อมูลส่วนบุคคล ข้อมูลเชิงการค้า หรือระบบ IT แล้วคำนวณความเสียหายที่คาดว่าจะเกิดขึ้นเมื่อทรัพย์สินนั้นถูกคุกคาม

5.การวิเคราะห์แบบการจำลอง: ใช้เครื่องมือหรือซอฟต์แวร์เฉพาะที่ช่วยในการประมาณการความเสี่ยงและความเสียหายที่เกิดขึ้น

6.การปรับปรุงและตรวจสอบทบทวน: หลังจากกำหนดค่า ARO และ SLE แล้ว ควรทบทวนและปรับปรุงเป็นประจำ โดยเฉพาะเมื่อมีการเปลี่ยนแปลงในสภาพแวดล้อมหรือเกิดเหตุการณ์ความปลอดภัยที่สำคัญ


ดู 322 ครั้ง

Comments