Calculadora de ROSI

Passo #1: Calculando o custo de um incidente




As medidas de segurança que você já implementou que devem diminuir a probabilidade e/ou impacto de tais incidentes - p. ex. backup, proteção antivírus, sistema de supressão de incêndio, e outras medidas relevantes a este incidente.




P. ex. bancos de dados, documento em formato eletrônico, documentos impressos, etc.

P. ex. hardware, espaço de escritório, instalações, mobiliário, outras infraestruturas etc.

Selecione a moeda a ser usada neste cálculo.

O custo dos serviços de fornecedores e parceiros que poderiam ocorrer como uma consequência deste incidente - técnicos, limpeza, RP e marketing, jurídico, financeiro etc. Estes custos podem estar relacionados às unidades de negócios que são diretamente influenciadas pelo incidente, ou relacionados a outras unidades de negócios que são indiretamente afetadas pelo incidente. Se não houver nenhum, apenas digite 0.

Quais equipamentos, mercadorias ou materiais você teria que comprar por causa do dano causado por este incidente? Se não houver nenhum, apenas digite 0.

P. ex. despesas de viagem, bônus, hora extra remunerada etc. Estes custos podem estar diretamente relacionados à resolução do incidente, ou indiretamente relacionados - por exemplo, recuperar o atraso do trabalho regular. Se não houver nenhum, apenas digite 0.

No caso de existirem requisitos legais ou contratuais para fornecer produtos/serviços no nível predefinido, mas você não seria capaz de atendê-los por causa do incidente. Se isto for irrelevante para você, apenas digite 0.


Se não houver nenhum, apenas digite 0 ou deixe este campo em branco.

%
A margem igual às vendas líquidas menos o custos das mercadorias e serviços vendidos.

Se a sua empresa não é capaz de fornecer produtos/serviços no nível esperado, você pode perder parte das suas receitas. Leve em consideração a perda de receitas durante o incidente (contando a duração dos impactos negativos), junto com as receitas vitalícias que perderia de clientes que deixassem você como uma consequência deste incidente. Se isto não for relevante para você, apenas digite 0.

Por causa dos impactos negativos diretos do incidente e como a sua gerência e funcionários estariam concentrados em resolver o incidente, você provavelmente não iria adquirir novos clientes, como normalmente. Calcule as receitas vitalícias que você teria obtido de tais clientes. Se isto for irrelevante para você, apenas digite 0.

Valor que você receberia da empresa de seguro porque assegurou os seus ativos que foram impactados pelo incidente. Se não houver nenhum, apenas digite 0.

(A ser calculado automaticamente - na sua moeda). EUP = Custo de serviços externos + Custo de compras + Custos com funcionários + Penalidades + Outros custos + Requisição de seguro + (Receitas perdidas de clientes existentes + Receitas perdidas de clientes em potencial) * Margem média

Leve em consideração as ameaças e vulnerabilidades, bem como as medidas de segurança existentes.

(A ser calculado automaticamente - na sua moeda) EPA = EUP * probabilidade (com que frequência tal incidente poderia ocorrer).
   
   
Passo #2: Calculando os custos e benefícios da proteção
Se os custos anuais das medidas de segurança (custos de proteção) forem menores do que a Expectativa de perda anual (EPA), então estas medidas de segurança serão rentáveis. E vice versa.

Descreva apenas uma medida de segurança (controle), ou um conjunto de medidas de segurança, que seria usada para mitigar os efeitos negativos de um incidente do Passo #1.

Após aplicar esta(s) medida(s) de segurança, com que frequência tal incidente poderia ocorrer?

%
Em quanto estas medidas de segurança reduziriam o custo total de um único incidente (p. ex. EUP)? As medidas de segurança podem ser capazes de reduzir o tempo de reação para solucionar o incidente, reduzir a duração de um incidente, diminuir o número de locais, unidades de negócios ou processos que seriam afetados, diminuir a quantidade de dados que seriam comprometidos, diminuir o número de ativos físicos que seriam afetados, ou diminuir a extensão do dano sobre estes ativos. Se não houver nenhum, apenas digite 0.

P. ex. o valor do hardware ou outros equipamentos, software, serviços de consultoria, serviços de suporte durante a implementação, etc. Certifique-se também de levar em consideração os custos de viagem, custos de treinamento e outros custos dos seus funcionários trabalhando na implementação de tais medidas de segurança.

Por quantos anos tais medidas ficariam em operação efetiva antes de se tornarem obsoletas ou por qualquer outra razão inutilizáveis?

Qual seria o valor de venda da(s) medida(s) de segurança após o seu período de uso? P. ex. se houver equipamentos que poderiam ser vendidos após terem sido usados, qual seria o valor de mercado realista para tais equipamentos?

Todos os custos (em uma base anual) de fornecedores e parceiros necessários para a operação normal da(s) medida(s) - p. ex. manutenção, auditorias, análise, consultoria, treinamento periódico, teste, locação, custos de infraestrutura, etc.

Em uma base anual, número de dias-homem de funcionários necessário para a operação da(s) medida(s) de segurança. Os funcionários que serão necessários para operar, manter, analisar, testar, aprimorar e supervisar tais medidas; também leve em consideração o tempo necessário para treinamentos regulares de tais funcionários.

Custos totais para um funcionário médio - salário bruto, benefícios, outros custos. Em uma base anual.

Número total de dias úteis disponíveis (para qualquer tipo de atividade de negócios) para um funcionário médio durante um ano. Você precisa levar em consideração finais de semana, feriados, licenças etc., e deduzir estes de 365.


Se não houver nenhum, apenas digite 0 ou deixe este campo em branco.

(A ser calculado automaticamente - na sua moeda)
 
 
Conclusão
O investimento nesta(s) medida(s) de segurança é rentável se o último campo abaixo (ROSI) for positivo.

Se for negativo, então as medidas de segurança não são rentáveis.

(A ser calculado automaticamente - na sua moeda) O valor da Expectativa de uma única perda (EUP) quando os efeitos das medidas de segurança são levados em consideração. EUP (com as medidas de segurança aplicadas) = EUP (inicial, sem nenhuma medida de segurança) * (100% - % de redução da EUP)

(A ser calculado automaticamente - na sua moeda) O valor da Expectativa de perda anual (EPA) com os efeitos das medidas de segurança levados em consideração. EPA = EUP (com as medidas de segurança aplicadas) * Frequência de incidentes (com as medidas de segurança aplicadas)

(A ser calculado automaticamente - na sua moeda) A quantidade de redução da exposição ao risco em um ano (EPA) como uma consequência de se aplicar as medidas de segurança. Redução de riscos = EPA (inicial, sem nenhuma medida de segurança) - EPA (com as medidas de segurança aplicadas)

(A ser calculado automaticamente - na sua moeda) Este é o valor do lucro anual criado ao se investir em medidas de segurança. ROSI = redução de risco monetário - custo anual de proteção

%
(A ser calculado automaticamente - na sua moeda) Este é o lucro exibido como uma percentagem do custo das medidas de segurança. ROSI (percentagem) = ROSI (número absoluto) / custo anual da proteção * 100%

Os dados deste formulário serão enviados para este endereço de email quando você clica no botão "Enviar"