Позитивный ROI в проект по ИБ. Реально ли?

Позитивный ROI в проект по ИБ. Реально ли?
Несколько лет назад я прочитал об одном методе оценки успешности инвестиций (ROI) в проекты по ИБ. Но т.к. я скептически относился вообще к ROI в области ИБ, то тогда не особо глубоко внимал в этот способ. Но тут недавно я столкнулся с примером его успешного применения и поэтому решил вновь вернуться к нему. Суть "проста" - использовать метод Монте-Карло. Метод Монте-Карло появился в конце 40-х годов, когда Станислав Улам решил применять для задач, в которых необходимо было оценивать вероятность успешного исхода того или иного события, не комбинаторику, а просто большое (или очень большое) количество экспериментов, которые и позволят, подсчитав удачное число исходов опытов, оценить вероятность успеха. Улам же предложил использовать для метода Монте-Карло компьютер. Собственно метод Монте-Карло не дает вам 100%-ую точность. Но в ряде случаев она и не нужна.Есть ряд задач, и оценка позитивного ROI относится к ним, когда их сложность, т.е. число измерений, которые надо осуществить, чтобы получить точный ответ, может расти экспоненциально. В таких случаях можно пожертвовать точностью и найти менее точный ответ, но все равно дающий точность выше 50%. Собственно в нашем случае, у нас есть выгоды и затраты от проекта по ИБ. Точных цифр мы не знаем и можем только гадать о том, что скрывается за этими неопределенными переменными. Поэтому мы подставляем под эти переменные интервалы возможных значений и моделируем сотни или тысячи возможных сценариев. Результатом станет набор различных сценариев с различными результатами от реализации оцениваемого проекта. Например, может оказаться так, что в 15% случаев проект будет убыточен, в 54% - доходен, а в 1.6% вообще может привести к краху предприятия (под крахом подразумевается убыток в сумме равной обороту всего предприятия). Дальше остается только принимать решение, но принимать уже основываясь на математически выверенных результатах, а не на экспертной оценке. Конечно, не все так просто и от применения метода Монте-Карло (через тот же Excel) мы не сразу научимся оценивать вероятности позитивного завершения того или иного проекта. У нас в любом случае остается задача оценки затрат и выгод. Одним из решений такой задачи может служить упомянутый мной ранее метод TEI . Но он не единственный. Как-нибудь дальше я опять коснусь этой темы.
метрики цена безопасности наука
Alt text

Баги в софте могут влиять на судьбы заключенных в тюрьмах, недобросовестные полицейские находят слабые места в копирайт-защите соцсетей, киберпреступники и вирусы-вымогатели продолжают атаковать пользователей по всему миру. Смотрите новый выпуск на нашем Yotube канале