Onaj tko razumije da je spriječena šteta jednaka ostvarenom dobitku, razumjet će i da je sigurnost investicija koja ima jednako jasnu računicu kao i svaka druga strateška odluka.
U poslovnim krugovima često se čuje tvrdnja da se povrat investicije u kibernetičku sigurnost ne može izračunati. Za razliku od ulaganja u osnovne segmente poslovanja proizvodnju, logistiku ili razvoj tržišta gdje je očekivani prihod relativno jednostavno mjerljiv, ulaganja u sigurnost često se percipiraju kao trošak koji se ne vraća. No, takav stav je netočan i dugoročno štetan.
Kibernetička sigurnost je osiguranje poslovanja od napada koji više nisu hipotetska prijetnja, nego svakodnevna realnost.
ROI se gleda kroz sprječavanje gubitaka
ROI u kibernetičkoj sigurnosti itekako je moguće izračunati. Razlika je jedino u perspektivi: ne mjeri se samo prihod koji ulaganje donosi, već i troškovi koje sprječava. Upravo u tome leži njegova poslovna vrijednost. Sigurnost ne generira nove klijente niti izravno povećava prodaju, ali omogućava da se poslovanje odvija bez prekida, da ugovori budu ispunjeni i da povjerenje klijenata ostane neupitno. Drugim riječima, ROI se ne mjeri rastom prihoda, nego sprječavanjem financijskog gubitka i očuvanjem poslovne reputacije.
Razumjeti, procijeniti i usporediti = ROI
• Prvi korak u izračunu ROI-ja jest razumjeti rizik kojem je organizacija izložena. Riječ je o konkretnim poslovnim scenarijima: koliko bi nas koštao zastoj poslovanja od nekoliko dana, kolika bi bila financijska posljedica gubitka ključnih podataka ili kakav bi utjecaj imala regulatorna kazna zbog povrede povjerljivih informacija. Svaki od tih scenarija ima svoju mjerljivu cijenu, izraženu u propuštenim prihodima, dodatnim operativnim troškovima, ugroženom ugovornom odnosu ili reputacijskom gubitku.
• Drugi korak je procijeniti financijski učinak tih scenarija. Kada se jednom kvantificiraju, uprava dobiva jasnu sliku: potencijalni gubici od kibernetičkog incidenta mogu višestruko nadmašiti ulaganje u sigurnosne procese, tehnologiju i edukaciju zaposlenika.
• Treći korak jest usporedba. Ako uložimo određeni iznos u sigurnost, a time izbjegnemo gubitke višestruko veće vrijednosti, tada smo već ostvarili povrat – i to na najkonkretniji mogući način: sprječavanjem financijskog udara koji je mogao ozbiljno ugroziti poslovanje.
Uprava koja na sigurnost gleda isključivo kao na trošak, propušta vidjeti njezinu pravu ulogu.
Dodatni benefiti
Važno je naglasiti i dodatne benefite koji se često zanemaruju, a koji imaju dugoročni financijski odraz. Organizacija koja ulaže u sigurnost jača povjerenje klijenata i partnera, olakšava pristup novim tržištima te povećava konkurentnost na natječajima gdje se sigurnosni standardi podrazumijevaju. U konačnici, sigurnost ne čuva samo IT sustave, već i stratešku poziciju poduzeća.
Stoga, izračun ROI-ja u kibernetičkoj sigurnosti nije mit, nego nužnost. Uprava koja na sigurnost gleda isključivo kao na trošak propušta vidjeti njezinu pravu ulogu, zaštitu poslovne održivosti i omogućavanje budućeg rasta. Onoga trenutka kada se sigurnost uvrsti u iste financijske kalkulacije kao i ostala ključna ulaganja, postaje jasno da je ROI ne samo mjerljiv, nego i neizostavan pokazatelj ispravnosti poslovne odluke.
