これは、リスク管理におけるセーフガードの価値を計算する正しい方法ですか?
情報セキュリティ部門の調査によると、ハッカーによって被害を受けたウェブサイトを修正するための費用は約Rsです。インシデントごとに200k。利用可能な記録(過去10年間)は、このようなハッキング活動が、比較対象の企業でこの期間に約5回発生したことを示しています。で構成されるセキュリティソリューションの評価を求められました
•2つのアプリケーションレベルのファイアウォール(コストはそれぞれRs 20k)
•1つのIPS/IDSアプライアンス(コストはそれぞれRs。10k)。
ソリューションの予想寿命は5年です-コストは5年にわたって資産化されます。すべてのセキュリティシステムは、年間の「インストール、サポート、メンテナンス、および管理」の単純化された20%(総コストの)の料金を負担します。
提案されたセキュリティソリューションにより、インシデントごとに損害のコストが70%削減される場合、会社に対する保護手段の価値を見つける必要があります。だから、私は以下のように計算します:
SLE('Single Loss Expectancy’) : 200K
ARO('Annualised Rate of Occurrence') : 0.5 per year
ALE('Annualised Loss Expectancy') : 100k (200k * 0.5)
ALE(Before) : 100k
ALE(After) : 30K
Controls cost : 2 firewalls + 1 IDS + maintenance = 50k + 50k = 100k (for five years)
Annualised cost : 100k / 5 = 20k
Value of safeguard to the company: 100 - 30 - 20 = 50K
計算したのは、従来の「費用便益分析」(CBA)です。計算は次のとおりです。
CBA = ALE(prior) – ALE(post) – ACS
ACSは、セーフガードの年間コストです。
これは、CBAがポジティブであるかどうかを判断するため、および予測されるセキュリティ投資収益率(ROSI)を推定するために使用されます。ポジティブであれば、セーフガードがコストよりも多くの保護を提供することを知っています。 ROSIは、このセーフガードを他のセーフガードに対して適格にして、考慮する必要のある他の非金銭的コストと比較検討するのに役立ちます。
これは、質問で提案されている厳密な「価値」ではありませんが、そのように理解される可能性があります。