چرا نمی‌شود همیشه از نرخ بازگشت سرمایه (ROI) استفاده کرد؟

چرا نمی‌شود همیشه از نرخ بازگشت سرمایه (ROI) استفاده کرد؟

۷۲

بدیهی ست که کسب‌وکارها قبل و بعد از هر سرمایه گذاری و صرف بودجه، به دنبال دلایل و معیارهای قانع‌کننده‌ای بگردند. دلایلی که به طور کیفی یا کمی بتوانند هزینه‌هایی که در راهی صرف می‌شود، را توجیه کنند. روش های متداولی برای اندازه‌گیری نرخ بازگشت سرمایه وجود دارند که در بسیاری از موارد به ماهیت کار بستگی دارد. اما در برخی موارد نیز، سنجش به این روش ما را به نتایج گویا و درستی نمی‌رساند. در این مواقع باید به چه نکاتی توجه کنیم؟ در این بلاگ‌پست به این موارد پرداخته‌ایم. 

داخل پرانتز: آن‌چه در این بلاگ‌پست می‌خوانید، بخشی از مطلب Why ROI isn’t always a meaningful metric از بلاگ intigriti است.

آن‌چه در این بلاگ‌پست خواهید خواند:  

چرا ROI همیشه یک معیار بامعنا محسوب نمی‌شود؟  

مشکلات ROI در امنیت سایبری    

  • ROI یک معیار نگاه به گذشته است. 

  • ROI ارزش سرمایه‌گذاری در امنیت سایبری را به طور دقیق منعکس نمی‌کند.  

  • تعیین ارزش جلوگیری از حوادث امنیت سایبری، چالش‌برانگیز است.  

  • ROI خطرات حوادث امنیت سایبری را در نظر نمی‌گیرد.  

  • مشکلات جمع‌آوری داده‌ها در مقیاسی برای اندازه‌گیری ROI کدام است. 

  • ماهیت در حال تغییر صنعت، محاسبه ی ROI را چالش‌برانگیز می‌کند.   

چرا ROI ممکن است گمراه‌کننده باشد؟   

چه زمانی ROI می‌تواند یک معیار مفید در امنیت سایبری باشد؟   

  • تجارت خطرات امنیتی تعریف‌شده‌ی واضحی دارد.  

  • مزایایی وجود دارند که به راحتی قابل‌اندازه‌گیری اند.  

  • سرمایه‌گذاری‌‌های کوچک با بازدهی بالقوه بالا  

  • همسویی با اهداف استراتژیک   

چرا ROI همیشه یک معیار بامعنا نیست؟

سرمایه‌گذاری‌های امنیت سایبری برای کسب‌وکارها بسیار حیاتی اند، اما تعیین بازگشت سرمایه (ROI) برای این‌گونه سرمایه‌گذاری‌ها معمولاً پیچیده است. روش‌های متداول برای اندازه‌گیری ROI اغلب اوقات نمی‌توانند ارزش کامل اقدامات امنیت سایبری را در بربگیرند و ممکن است دیدگاهی نادرست از اثربخشی آن‌ها ایجاد کنند. اگر به دنبال راهکارهایی برای در انتقال اهمیت امنیت سایبری به هیئت مدیره‌ی کسب‌وکار و جلب حمایت آن‌ها برای اقدامات امنیتی حیاتی هستید با چه چالش‌هایی مواجه خواهید بود؟ در این مقاله، بررسی می‌شود که آیا ROI می‌تواند یک ارزیابی جامع از وضعیت امنیت سایبری ارائه دهد یا خیر؟ چگونه می‌توان این اهمیت را به مدیران منتقل کرد و آن‌ها را برای انجام اقدامات امنیتی بااهمیت، قانع کرد؟ 

مشکلات ROI در امنیت سایبری

اگر به عنوان معیاری برای سرمایه‌گذاری در امنیت سایبری فقط به ROI تکیه کنیم، مشکلاتی خواهید داشت. گرچه ROI یک معیار مالی ارزشمند برای ارزیابی سودآوری سرمایه‌گذاری ست، اما ارزش امنیت سایبری را به طور کامل اندازه گیری نمی‌کند. برای مثال؛ اگر هنگام سرمایه‌گذاری در امنیت سایبری، صرفاً تمرکز بر بازدهی مالی قرار داده شود، موجب نادیده‌گرفتن پیامدهای گسترده‌تری می‌شود. پیامدهایی که این سرمایه‌گذاری‌ها بر وضعیت امنیتی کلی سازمان و توانایی آن در مقاومت در برابر تهدیدات سایبری درازمدت دارند. 

در اینجا برخی از محدودیت‌های کلیدی استفاده از ROI به عنوان معیاری برای ارزیابی اقدامات امنیت سایبری آورده شده است: 

ROI یک معیار نگاه به گذشته است.

ROI سودآوری سرمایه‌گذاری‌های قبلی را اندازه‌گیری می‌کند. با این حال، هیچ دیدگاهی در مورد ارزش بالقوه ی یک سرمایه‌گذاری در آِینده ارائه نمی‌دهد. سرمایه‌گذاری‌هایی که در امنیت سایبری انجام می‌شوند، اغلب تأثیرات طولانی‌مدتی دارند. ممکن است مزایای آن‌ها به طور فوری قابل‌مشاهده نباشد. به عنوان مثال؛ یک سرمایه‌گذاری در امنیت سایبری که از نقض داده‌ها جلوگیری می‌کند، ممکن است هیچ بازدهی مالی فوری‌ای نداشته باشد. با این حال، در بلندمدت، می‌تواند منجر به به صرفه‌جویی در میلیون‌ها دلار جریمه، هزینه‌های قانونی و از دست دادن مشتری شود. 

ROI ارزش سرمایه‌گذاری در امنیت سایبری را به طور دقیق منعکس نمی‌کند.

این معیار معمولاً با استفاده از عواید و هزینه‌ها محاسبه می‌شود که ممکن است نتواند ارزش سرمایه‌گذاری‌های امنیت سایبری را به طور کامل نشان دهد. سرمایه‌گذاری‌های امنیتی می‌توانند مزایایی همچون افزایش شهرت برند، افزایش اعتماد مشتری و کاهش ریسک‌های عملیاتی را به همراه داشته باشند. چنین مواردی معمولاً در محاسبات ROI سنتی در نظر گرفته نمی‌شوند. 

تعیین ارزش جلوگیری از حوادث امنیت سایبری، چالش برانگیز است. 

بازدهی سرمایه‌گذاری‌های امنیت سایبری اغلب نامعلوم و پرچالش است. به همین دلیل محاسبات دقیق ROI گیج‌کننده خواهد بود. به عنوان مثال؛ چگونه می‌توان ارزش مالی جلوگیری از نقض داده‌ها، را تعیین کرد؟ 

ROI خطرات حوادث امنیت سایبری را در نظر نمی‌گیرد.

اگرچه یک سرمایه‌گذاری در امنیت سایبری ممکن است واقعاً بازدهی بالایی داشته باشد، اما لازم است خطرات به دقت ارزیابی شوند. اگر مبلغ سرمایه‌گذاری‌شده به اندازه‌ی کافی از مجموعه، در مقابل تهدیدات سایبری محافظت نکند، هزینه‌های یک حمله ممکن است به گونه‌ای باشد که مزایای سرمایه‌گذاری را تحت شعاع قرار دهد. به عنوان مثال؛ یک فایروال جدید ممکن است بازدهی بالایی داشته باشد، اما اگر نتواند در برابر یک حمله سایبری پیچیده دفاع کند، هزینه‌های آن ممکن است بسیار زیاد باشد. 

مشکلات جمع‌آوری داده‌ها در مقیاسی برای اندازه‌گیری ROI در امنیت سایبری

یکی از چالش‌های اساسی در محاسبه‌ی بازگشت سرمایه برای سرمایه‌گذاری‌های امنیت سایبری، دشواری جمع‌آوری داده‌های جامع است. داده‌های امنیت سایبری گسترده و متنوع هستند؛ از گزارش‌های حوادث و هزینه‌های نقض گرفته تا معیارهای کمتر ملموس مانند آگاهی کارکنان. برای سازمان‌های بزرگ، این داده‌ها در بخش‌ها و سیستم‌های متعدد پخش می‌شوند. همین مورد، تجمیع و تحلیل مؤثر این داده‌ها را دشوار می‌سازد. حجم عظیم داده‌ها در عین حساسیت آن‌ها، نیازمند مدیریت داده‌های قوی و ابزارهای تحلیلی مناسب است که برای بسیاری از سازمان‌ها چالش‌برانگیز است. 

ماهیت در حال تغییر صنعت، محاسبه ی ROI در امنیت سایبری را چالش‌برانگیز می‌کند.

صنعت امنیت سایبری با پیشرفت‌های سریع فناوری و چشم‌انداز تهدیدهای در حال تکامل مشخص می‌شود. آسیب‌پذیری‌های جدید و مسیرهای حمله (attack vectors) پیوسته و بی‌وقفه از راه می‌رسند و نیازمند به‌روزرسانی مداوم پروتکل‌ها و اقدامات امنیتی هستند. این ماهیت پویا، مراقبت از محاسبه‌ی یک ROI سازگار و بلندمدت را چالش‌برانگیز می‌کند. در حالی که اثربخشی سرمایه‌گذاری‌های امنیتی می‌تواند بر اساس محیط تهدید فعلی نوسان کند.  

علاوه بر این، چشم‌انداز نظارتی نیز در حال تغییر است. قوانین و استانداردهای جدید مکرراً معرفی می‌شوند و بر نحوه‌ی مدیریت سازمان‌ها در استراتژی‌ها و سرمایه‌گذاری‌های امنیت سایبری تأثیر می‌گذارند. به عنوان مثال؛ قانون امنیت محصول و زیرساخت‌های مخابراتی بریتانیا (PSTI) از آوریل 2024، سازمان‌ها را ملزم به پیروی از استانداردها و پروتکل‌های امنیتی خاصی می‌کند. یکی از الزامات جدید، ارائه ی راهنمایی روشن در مورد نحوه ی گزارش نگرانی‌های امنیتی مربوط به محصولات است. برای بسیاری، این به معنای راه‌اندازی یک برنامه افشای آسیب‌پذیری (VDP) است. 

چرا ROI در امنیت سایبری ممکن است گمراه‌کننده باشد؟

تکیه بر ROI برای ارزیابی سرمایه‌گذاری‌های امنیت سایبری می‌تواند گمراه‌کننده باشد و مانع از تصمیم‌گیری موثر شود. یک چالش مهم در ارزیابی سرمایه‌گذاری‌ های امنیت سایبری، کمی‌سازی مزایای آن‌ها است. در مقایسه با دارایی‌های مشهود یا پروژه‌های درآمدزا، سرمایه‌گذاری‌ های امنیت سایبری اغلب مزایای نامشهودی را به همراه دارند. مزایایی مانند؛ کاهش ریسک، افزایش شهرت برند و افزایش اعتماد مشتری. ارزش گذاری مالی دقیق این عوامل کیفی، پیچیده و ذهنی است.  

علاوه بر این، عدم وجود معیارهای متناظر با سایر حوزه‌ها، ارزیابی ROI را پیچیده می‌کند. به عنوان مثال؛ مقایسه‌ی ROI یک ابتکار در امنیت سایبری با یک کمپین بازاریابی یا پروژه ی توسعه محصول جدید، به دلیل فقدان معیارهای استاندارد چالش‌ برانگیز است. این نبودِ معیار، می‌تواند به این منجر شود که محاسبات ROI نه تنها دشوار بلکه گمراه‌کننده نیز باشند.  

در نهایت، سرمایه‌گذاری‌های امنیت سایبری دارای دوره ی بازگشت طولانی هستند. مزایای این سرمایه‌گذاری‌ها ممکن است برای سال‌ها محقق نشود و محاسبات ROI کوتاه‌مدت را کم‌معنا می‌کند. این مورد می‌تواند هنگام تخصیص بودجه برای طرح‌های امنیت سایبری چالش‌هایی را ایجاد کند، به‌ویژه زمانی که با پروژه‌هایی با بازدهی فوری‌تر مقایسه می‌شود. 

چه زمانی ROI می‌تواند یک معیار مفید در امنیت سایبری باشد؟

ROI به عنوان معیاری برای سرمایه‌گذاری در امنیت سایبری محدودیت‌های زیادی دارد، اما درر عین حال سناریوهای خاصی وجود دارد که در آن‌ها می‌تواند بینش‌های ارزشمندی را ارائه دهد. در اینجا موقعیت‌هایی وجود دارد که ROI می‌تواند یک معیار مفید باشد:  

تجارت خطرات امنیتی تعریف شده‌ی واضحی دارد.

هنگامی که یک سازمان درک روشنی از خطرات امنیت سایبری خود دارد و این خطرات قابل‌اندازه‌گیری هستند، ROI می‌تواند ابزار ارزشمندی برای ارزیابی اثربخشی سرمایه‌گذاری‌های امنیت سایبری باشد. با سنجیدن ضررهای احتمالی ناشی از حوادث امنیتی در مقابل هزینه‌های سرمایه‌گذاری امنیتی، سازمان‌ها می‌توانند تصمیمات آگاهانه‌ای در مورد ارزش سرمایه‌گذاری خود بگیرند. 

مزایایی وجود دارند که به راحتی قابل اندازه‌گیری اند.

در مواردی که مزایای سرمایه‌گذاری در امنیت سایبری به آسانی قابل اندازه‌گیری و تبدیل به درآمد هستند، ROI به معیار قابل‌اعتمادتری تبدیل می‌شود. به عنوان مثال؛ اگر سرمایه‌گذاری در امنیت سایبری از نقض داده‌ها (که منجر به زیان‌ های مالی می‌شود) جلوگیری کند، می‌توان با مقایسه‌ی هزینه‌ی سرمایه‌گذاری با ضررهای جلوگیری‌‌شده، بازگشت سرمایه را به وضوح مشاهده کرد. 

سرمایه‌گذاری‌ های کوچک با بازدهی بالقوه بالا

ROI می‌تواند ابزار ارزشمندی برای ارزیابی سرمایه‌گذاری‌های امنیتی سایبری کوچک‌تر با پتانسیل بازدهی بالا باشد. در این موارد، دوره بازپرداخت کوتاه است و عدم اطمینان مرتبط با سرمایه‌گذاری کاهش می‌یابد. بنابراین، ROI معیار قابل‌اعتمادتری برای ارزیابی ارزش این نوع سرمایه‌گذاری‌ها ست 

همسویی با اهداف استراتژیک

وقتی که سرمایه‌گذاری‌های امنیت سایبری با اهداف کلی استراتژیک سازمان هم‌سو باشند، بازگشت سرمایه می‌تواند معیار ارزشمندی برای ارزیابی اثربخشی آن‌ها باشد. با اتصال سرمایه‌گذاری‌های امنیت سایبری به اهداف تجاری خاص، سازمان‌ها می‌توانند ارزیابی کنند که آیا این سرمایه‌گذاری‌ها در دستیابی به اهداف استراتژیک گسترده‌ترشان نقش دارند یا خیر. 

سخن آخر 

ما نیاز داریم زبانی بیابیم که بتوانیم با آن، ارزش سرمایه‌گذاری‌های امنیت سایبری را به مدیران و تصمیم گیران نشان دهیم. در این بلاگ پست به این پرداختیم که آیا در ارزیابی سرمایه‌گذاری‌های امنیت سایبری، می‌توانیم از ROI بهره ببریم؟ آیا ROI می‌تواند زبان مناسبی برای انتقال مفاهیم و ارزش‌های یک سرمایه‌گذاری امنیت سایبری باشد؟ درصورت استفاده از ROI باید حواسمان باشد که ممکن است از چه نکاتی غافل بمانیم؟ و در چه صورتی ممکن است ROI بتواند کمک‌هایی بهمان بکند؟  

بلاگ‌پست‌های مرتبط: 

استراتژی امنیت سایبری برای کسب و کارها 

SDLC (چرخه‌ی عمر توسعه نرم افزار) چیست؟ 

آیا قیمت خدمات امنیت سایبری می‌ارزد؟