7.14. Return On Security Investment (ROSI)

De beslissing om middelen te besteden aan privacybescherming dient financieel onderbouwd te zijn. Het heeft geen zin om een kostbare oplossing in de organisatie in te voeren, als een minder dure oplossing net zo'n goede privacybescherming biedt. De kosten dienen ook niet hoger te zijn dan de opbrengsten van de investering. Volgens Lucas zijn er vele verschillende methoden om de economische waarde van informatie beveiligingsuitgaven te berekenen, maar: "For the most part ROI (Return on Investment), NPV (Net Present Value), and IRR (Internal Rate of Return) are the standards."1 De ROI-berekening geniet een hoge populariteit onder economen. Perks stelt dat:

Bij gebrek aan empirische gegevens over investeringen in privacybescherming, moet naar een analoge situatie in de informatiebeveiliging gekeken worden. Een gangbare economische formule om de waarde van een investering in informatiebeveiliging te evalueren is Return On Security Investment (ROSI). De ROSIberekening is ontwikkeld door een groep onderzoekers van de Universiteit van Idaho onder leiding van Hua Qiang Wei.3 ROSI is een benadering om het effect van de IT-investeringskosten op het verminderen van het beveiligingsrisico te beoordelen. Cardholm stelt: "it is basically a 'savings' in Value-at-Risk; it comes by reducing the risk associated with losing some financial value".4

Drie kernelementen zijn bepalend voor de rendementsberekening van de investering, te weten kosten, opbrengsten en niet-financieel meetbare elementen.5 Een organisatie kan met ROSI de beveiligingsrisico's en de kosten die verbonden zijn aan het oplossen van de risico's analyseren. Wanneer ROSI aangeeft dat de investering lonend is, kan de organisatie besluiten de investering uit te voeren.

172.W. Sonnenreich, 2006, p. 1. De asterix staat voor vermenigvuldiging.

Met 'Risk Exposure' (blootstelling aan risico)6 wordt bedoeld het bedrag dat een organisatie kwijt is (schade) wanneer het te maken krijgt met een beveiligingsrisico (zoals bijvoorbeeld een computervirus). Dit bedrag wordt vermenigvuldigd met het percentage waarmee het risico afneemt met behulp van de investering, die daarvoor een oplossing biedt. De kosten van de investering die de oplossing voor de risicovermindering bewerkstelligt, worden vervolgens van het verkregen resultaat afgetrokken.7 Anderson merkt op dat "Security ROI may be about 20% per annum."8 In paragraaf 4.7 is risico al in technische zin aan de orde geweest. Hier gaat het erom risico te kwantificeren. Daar zou de volgende formule voor gebruikt kunnen worden. Het risico dat een organisatie loopt (r) is de waarschijnlijkheid van een gebeurtenis (in casu het beveiligingsincident) (p) vermenigvuldigd met de schade (e), dus: r = p x e. Zuccato wijst erop dat "we cannot assume that the probability of the risk is simply the product of probabilities: we need a Bayesean probability function."9 Het is praktisch gezien niet mogelijk om in deze wiskundige formule de inputwaarden van het aantal waarschijnlijkheden te geven, omdat de waarschijnlijkheden exponentieel toenemen met het groot aantal scenario's in de actuele omstandigheden. Met één mogelijke gebeurtenis met waarschijnlijkheid (p) is er nog wel een berekening te maken, maar dat is een verregaande vereenvoudiging, die de berekening onbetrouwbaar maakt.

`Risk Exposure' kan als synoniem van het begrip `Armual Loss Expectancy' (ALE), het verwachte jaarlijkse verlies, gezien worden.10 Het is volgens Fairchild & Ribbers: "One of the most common measures for assessing the risk of a harmful event."11 ALE kan weer uitgesplitst worden in SLE vermenigvuldigd met ARO, zodat voor 'Risk Exposure' geschreven kan worden:

Risk Exposure = ALE = SLE x AR012

SLE staat voor 'Single Loss Exposure': de werkelijke kosten van een beveiligingsincident per voorval. ARO (Annual Rate of Occurrence) betreft de frequentie van een beveiligingsincident per jaar. Het bepalen van de werkelijke kosten van een beveiligingsincident is erg moeilijk, temeer daar maar erg weinig organisaties zulke incidenten rapporteren. Cardholm merkt op, dat:

De ROSI-formule zou in beginsel 'mutatis mutandis' ook gebruikt kunnen worden voor investeringen in PET-applicaties. Er zijn wel een aantal voorwaarden. De organisatie moet op de hoogte zijn van de (frequentie van de) privacyincidenten, waarbij zij betrokken was. Ook moet de organisatie een privacybedreigings- of risicoanalyse (PIA) (zie paragraaf 4.8) hebben uitgevoerd om de privacyrisico's vast te stellen. Bovendien moet de organisatie kunnen inschatten wat de kosten kunnen zijn als de risico's niet worden afgedekt en hoeveel de investering zal bedragen om het risico te verminderen. Het probleem met het begrip SLE is dat er weinig (gestandaardiseerde) empirische gegevens over de kosten van privacyincidenten bekend zijn. Datzelfde geldt overigens ook voor beveiligingsincidenten. Sonnenreich schrijft daarover: "there is no 'standard' model for determining the financial risk associated with security incidents. Likewise, there are also no standardized methods for determining the risk mitigating effectiveness of security solutions. Even methods for figuring out the cost of solutions can vary greatly. Some only include hardware, software and service costs, while others factor in internal costs, including indirect overhead, and long-term impacts on productivity".14

Daar komt nog bij dat de schade (materieel en immaterieel) die door een privacyincident ontstaat, zowel voor een individu als voor een organisatie (op de korte termijn) moeilijk is vast te stellen.15 Boer & Grimmius menen, dat:

De kosten van PET-maatregelen zijn wel te kwantificeren, maar over het algemeen zal het niet direct duidelijk zijn hoe de PET-investering bijdraagt aan een vermindering van de bedrijfskosten door een verbeterde `workflow', bedrijfsprocessen of verbetering van de reputatie. Doordat ervaringsfeiten ontbreken is het ook moeilijk te bepalen met hoeveel procent PET-maatregelen het privacyrisico verminderen. Het is mogelijk dat er niet-financieel meetbare baten en kosten zijn. Dat zou een probleem binnen de analyse van het rendement van investeringen in PET kunnen opleveren. Andere gangbare formules die gebruikt worden om het rendement van een investering in informatiebeveiliging te berekenen, kampen met het probleem van de niet-financieel meetbare opbrengsten en kosten.17 Om een investering in PET te analyseren is het daarom belangrijk om zoveel mogelijk opbrengsten en kosten financieel meetbaar te maken.

In hoofdstuk 2 heb ik al aangegeven, dat het een goede zaak zou zijn, als organisaties wettelijk verplicht worden privacyincidenten en daarbij behorende schadeclaims te rapporteren aan de nationale toezichthouder voor de bescherming van persoonsgegevens. Verplichte rapportage en registratie zorgt ervoor dat de privacyinbreuken worden gemeld. Een dergelijk register maakt het mogelijk dat bekend wordt welke bedrijven privacyonveilig werken. Ook zullen hierdoor de schadecijfers betrouwbaarder worden waardoor privacyrisico 's in het vervolg beter kunnen worden ingeschat door degenen, die verantwoordelijk zijn voor de gegevensverwerking.18

Omdat gegevens over Europese privacyincidenten ontbreken, zijn in het kader van deze dissertatie in 2007 en 2008 interviews gehouden met verschillende Europese organisaties. Op basis van deze interviews konden cijfers worden verzameld over privacyincidenten en over de investeringen die deze organisaties hadden gedaan in privacybescherming. De bedoeling van de interviews was onder meer om na te gaan of het voor andere organisaties financieel zinvol zou kunnen zijn om in PET te investeren. In de Verenigde Staten worden inmiddels dergelijke gegevens sinds 2003 bij de 25 grootste bedrijven verzameld. Het onderzoeksbureau van Ponemon19 doet jaarlijks onderzoek naar de werkelijke kosten van privacyincidenten in de Verenigde Staten. Het onderzoek wijst uit dat de gemiddelde kosten van een privacyinbreuk $ 6,3 miljoen bedragen, met als laagste bedrag $ 225.000 en als hoogste $ 35 miljoen (2007).