کاری را را انجام دهید که نرخ برداشت از سرمایه شما بالا باشد .

بازگشت سرمایه (ROI) در امنیت سایبری، که دقیق‌تر آن را ROSI (Return on Security Investment) می‌نامند، هنر ترجمهٔ ریسک‌های فنی به زبان پول است. در دنیای امنیت، سودآوری به معنای «تولید پول» نیست، بلکه به معنای «جلوگیری از ضرر» است.

این شاخص نشان می‌دهد که هزینه برای پیشگیری (مانند خرید تجهیزات، آموزش یا راه‌اندازی SOC)، بسیار کمتر از هزینه‌های سنگینِ پس از حادثه (مانند باج‌افزار، توقف سرویس، جریمه‌های قانونی و خدشه‌دار شدن اعتبار) است.

علاوه بر جلوگیری از زیان مالی مستقیم، ROI امنیتی دارای ابعاد پنهان و ارزشمندی همچون حفظ اعتماد مشتریان، کاهش بدهی فنی و تداوم کسب‌وکار است. زمانی که ثابت شود هر ریال سرمایه‌گذاری در امنیت، جلوی چندین ریال خسارت احتمالی را می‌گیرد، واحد امنیت از یک «مرکز هزینه» به یک «شریک تجاری استراتژیک» تبدیل می‌شود. در واقع، امنیت گران نیست؛ این ناامنی است که هزینه دارد.

این یک قاعده مهم در طراحی سامانه های امنیتی و توجیه مدیرعامل است.

اما در این میان برخی ROI ها پنهان و جالب هستند که براتون مثال میزنم .

چند مثال ملموس از ROI امنیتی غیرمستقیم و بلندمدت:

1- یک شرکت مالی سالی ۵ میلیارد تومان گردش داده دارد. با استقرار E-mail Security Gateway و آموزش آگاهی کارکنان (هزینه ۳۰۰ میلیون تومان)، احتمال آلودگی به باج‌افزار تا ۹۰٪ کاهش می‌یابد.
اگر حمله باج‌افزاری متوسط زیان ۲ میلیارد تومان ایجاد کند (توقف سرویس + دیه داده‌ها + آسیب اعتباری)، بازده امنیتی حتی با عدم وقوع حادثه هم محسوس است:
سرمایه‌گذاری ۳۰۰ میلیون تومانی از زیانی به ارزش ۲ میلیارد جلوگیری کرده است

2- ثبت و مانیتورینگ مداوم در SOC
با پیاده‌سازی سامانهٔ SIEM و تنظیم Use-caseها، زمان تشخیص رخداد از ۲ هفته به چند ساعت کاهش می‌یابد.
این مقولهROI مستقیم ندارد، اما در صورت وقوع نقض امنیتی، کاهش مدت حضور مهاجم (Dwell Time) باعث جلوگیری از نشت داده محرمانه و جریمه‌های انطباقی GDPR/CBI می‌شود ، زیانی که ممکن بود میلیاردی باشد.

3- ارتقای سیستم‌عامل
به‌روزرسانی ویندوزهای قدیمی به نسخه‌ای که از HVCI و Memory Integrity پشتیبانی می‌کند شاید صرفاً هزینه‌زا به‌نظر برسد، اما در بلندمدت موجب حذف یک کلاس حملات (مثل BYOVD و DCOM) می‌شود.
در عمل یعنی کاهش احتمال Breaching via Kernel Exploit ، نوعی بازده پنهان ولی با تأثیر استراتژیک.
این سخت‌ترین نوع ROI برای توضیح است. در این حالت در حال حذف بدهی فنی (Technical Debt) هستیم. بدهی فنی در امنیت مثل بهره مرکب عمل می‌کند؛ هرچه دیرتر سیستم را آپدیت کنیم، هزینه امن‌سازی آن در آینده به صورت تصاعدی بالا می‌رود.


اگر بدین مطالب علاقمند هستید و این نوع از سرفصل و ارائه برای شما جذاب است :
در دوره مدیریت امنیت CISO با من همراه باشید تا بیشتر بیاموزید.