|
|
 |
 |
Security Economics |
| |
|
|
ROI |
Der Return on Investment (ROI) für IT-Investitionen ist oft schwer zu berechnen, da Einkünfte oder Kostenersparnis nicht trivial zu quantifizieren sind. Die Kosten hingegen sind einfacher zusammenzufassen, deshalb ist der Total Cost of Ownership (TCO) eine wichtige Kennzahl.
Investitionen in die Sicherheit können mit Best Practises oder mit Industriestandards begründet werden, ein genaueres Bild vom Nutzen einer Sicherheitsinvestition bietet eine Betrachtung durch die "Versicherungsbrille". Das setzt aber schon eine Analyse von Bedrohungen, Verwundbarkeiten sowie den vorhandenen Werten, um die Auswirkung einer Maßnahme auf den zu erwartenden jährlichen Schaden (Annual Loss Expectancy) bzw. die Risikominderung quantifizieren zu können, voraus - womit man schon mitten im klassischen Bereich des Risikomanagements ist.
|
|
|
... und ROSI |
Das Modell des Return on Security Investment (ROSI) zieht zusätzlich zum Versicherungsmodell auch zusätzliche Erträge und Kosteneinsparungen in Rechnung, was der Sichtweise, das IT-Sicherheit ein "Business Enabler" ist, besser entspricht.
Quantifizierter Schaden den ein Ereignis bewirkt (Ausfall, Wiederherstellung, Image,...) x Anzahl der Ereignisse (annualisiert) = Verlusterwartung (Annual Loss Expectancy)
Der Wert einer Sicherheitsmaßnahme kann durch den Prozentsatz der Risikominderung (durch Verhindern, Erkennen, schnellerem Wiederherstellen,...) und der Verlusterwartung ermittelt werden.
Verlusterwartung x Risikominderung = Wert der Maßnahme
Dieser Wert inklusive zusätzliche Erträge oder Kosteneinsparungen durch ermöglichte Geschäftsprozesse vervollständigen den Return on Security Investment.
|
TCO - Total Cost of Ownership |
Bei den Berechnungen eines TCO einer bestimmten Lösung sind 3 Prinzipien zu beachten
|
|
 |
ausschließliche Berücksichtigung der zusätzlichen Kosten: Die Infrastruktur, die schon vorhanden ist, und auf der die Lösung aufbaut soll nicht in die Berechnung der TCO eingehen. |
|
ausschließliche Berücksichtigung der genutzten Merkmale einer Lösung. |
|
Entscheidungen sollten nicht nur auf Kostenbasis begründet werden, auch Vertrauenswürdigkeit, Architektur, etc. sind einzubeziehen. |
|
TCO Kostenbereiche bei IT-Investitionen |
|
Produkte: Anschaffungs- und Lizenzkosten von Software und Hardware (Client- und Serverseite), sowie für Wartung, Support und Upgrades |
|
Anlagen und Einrichtung: Kosten für den (sicheren) Betrieb wie phys. Sicherheit, Redundanz, Backup, Disaster Recovery,.. |
|
Personen: Kosten aller beteiligten Personen die bei der Vorbereitung, Planung, Design, Einsatz und Integration, Organisation, Training, laufender Betrieb und Support beteiligt sind. |
|
Prozesse: zusätzliche Kosten die in den einzelnen Phasen entstehen |
|
|
|
|
|
|
 |
|
|
|
|
|
|
|
|
|
|
