中小企业如何准确计算安全投资回报率

日期: 2009-03-05 来源:TechTarget中国 英文

  中小企业在进行网络安全防范设计过程中,有一个重要的问题是不得不面对的,那就是如何确认安全的投资回报率(return on investment (ROI))的问题。我们应该知道,如果安全防范的商业目标没有达到,那么,这个安全防范方案将是错误的。尤其是在现在这种全球经济形势不好的情势之下,中小企业都在尽量缩减各种成本。在这种情形之下,成本就是制约安全防范方案最关键的因素。
 
  作为网络管理员或IT部门主管的我们要想说服企业使用某一种安全防范方案,就必需拿出具体的安全投资回报率来说服企业领导同意这个方案,让他们知道使用这样的安全防范方案是非常值得的。那么,我们该如何来计算某个安全防范方案的投资回报率呢?

  一、了解什么是安全投资回报率

  首先,我们先来了解什么是安全投资回报率。通常人们所说的投资回报率是指投入成本与产出的比值,一般投资回报率高的方案是最佳的方案。计算方式可以是收益比上成本,还可以是利润比上成本,以及纯收入比上成本。按这样计算的话,就必需产生价值才有可能存在投资回报率。

  例如:如果一个你投资1000元人们币,最后得到了1050元,那么你此资投资的回报率是5%。

  但是,很显然的是安全防范只有投入,却不会产生任何新的价值的。那么,安全防范的投资回报率从何而来呢?

  虽然安全防范没有产出任何新的价值,但是,它却能对现有资产进行保值。保值的意思就是原本一台电脑在购买六个月后会跌价10%,但使用一定的方式保养后,使它在六个月后只跌价5%,那么,这种保养方式就为这台电脑保值了其总价的5%。保值相对来说就是为企业产生了新的价值。安全防范在价值上的作用就是如此,它能为企业的网络资产和无形资产进行保值,也就相对地给企业产生了价值。既然安全防范可以相对地给企业产生价值,也就存在安全投资回报率。

  二、安全投资回报率的计算

  如上所述,我们必需从财产保值的角度去计算安全的投资回报率。任何一个安全管理人员都应该知道,每个制定的安全防范方案可以为企业节省多少数量的钱。典型的做法就是进行风险评估和分析,以及成本/效益分析,然后计算出安全投资的回报率。

  实际上,要准确计算出安全的投资回报率是相当困难的,并且,到目前为止还没有一个具体的计算标准来给中小企业作为参考。

  这是由于存在下列原因所致:

  1、 企业网络资产的价值无法做到非常具体的明确,而且确定它也不是很容易。

  2、 各种安全威胁也是无法预料的,而且不能很准确评估它们的风险大小。

  3、 企业网络中存在的所有安全漏洞不可能都了解清楚,而且每天都有新的安全弱点被发现。

  4、 漏洞被利用后造成的影响在安全事件还没有发生之前,不能很明确地了解它所造成的损失,总是要等到事件真正发生后才能了解清楚。

  从这里就可以知道,其实进行安全投资回报率的计算,计算的数据大都建立在半猜测的程度之上的。但不管怎么样,我们还是可以大概计算出安全的投资回报率是多少,并以此了解这个安全防范方案是否值得去实施。

  也正是由于安全防范成本的不确定性,我们可以先大概计算出某个单个安全项目的投资回报率,然后将这些投资回报率总结起来就是整个安全防范方案的投资回报率。这种计算方法能比一次性计算整个安全防范方案的投资回报率要准确得多,也是现在使用比较多的计算方式。这都是由于安全造成的损失不是能在一开始就可以预测的,也不可能预测得非常准确。所有用来计算的数值都只能是大概的猜测而已。这些不可预期的因素造成了计算的不准确。但如果将它们分开来计算,这些不确定的因素就会相对地减少,准确率就会有所提高。

  下面,我们来看一个具体计算安全投资回报率的实例:

  假如现在有一个有1000个雇员的公司,在没有使用安全防范措施之前,只是使用一个用户使用策略来监控员工的E-Mail和WEB浏览行为,以防止员工出现违反用户使用策略的行为,并通过法律的手段来惩罚违反的员工。但是,这并不能防止员工产生各种安全违规行为,这些不安全的网络操作系统有可能给企业内部局域网带来病毒、垃圾邮件及黑客攻击等各种安全威胁。而且,更不要说这些违规的员工在工作时间利用企业的网络资源来做非公司业务等事情,从而影响公司的正常业务流程的处理。所以,现在我们需要购买网络行为监控产品来防范这类事件的发生,而购买相关的软硬件产品必需花费¥10000元人民币。那么,我们该如何知道这次的安全投资是值得企业去实施的呢?这就是计算此次安全防范方案的安全投资回报率的问题。

  首先,我们要确定公司内部员工在使用电子邮件和进行WEB浏览时,可能会违反公司网络行为规范的概率。我们可以将这个概率称为暴光值(exposure value (EV))。根据一些机构对中小企业做的调查报告可知,通常有25%—30%的员工会违反企业的使用策略,我们在此选择25%作为计算安全投资回报率的暴光值。那么,就有1000 x 25% = 250名违反者。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐

  • 企业的网络营销 ROI才是关键

    网络营销越来越受到企业,特别是中小企业重视,可这种重视也是有着中国的传统,跟风似的网络营销,如看到别人做网络营销,而自己跟随来做,这种效果并不是很好。

  • 企业CRM系统的ROI分析

    许多企业的信息长(CIO)对于企业要推动的各种e化项目,都会要求项目经理想办法在事前进行适当的ROI分析。然而,ROI的分析应该如何进行才适当呢?