Return on Security Investment (ROSI) – Sådan måler du værdien af IT-sikkerhed
IT-sikkerhed bliver ofte betragtet som en udgift, der blot beskytter mod noget, man håber aldrig sker. Men virkeligheden er, at IT-sikkerhed i dag er en forretningskritisk investering – og i mange tilfælde et krav for at kunne drive forretning.
Med Return on Security Investment (ROSI) kan du dokumentere, at investeringer i sikkerhed faktisk skaber økonomisk værdi.
Hvorfor er ROSI vigtigt for virksomheder i dag?
Små og mellemstore virksomheder står overfor stigende krav fra både kunder, leverandører og lovgivning. Standarder som ISO 27001 og direktiver som NIS2 stiller krav om systematisk risikostyring og dokumentation.
Men hvordan overbeviser man ledelsen om, at det er en investering – og ikke bare en udgift?
Her kommer ROSI ind i billedet. Det giver et økonomisk argument for sikkerhed og hjælper dig med at prioritere de tiltag, der giver mest værdi.
Hvad betyder Return on Security Investment (ROSI)?
ROSI minder om klassisk ROI (Return on Investment), men handler specifikt om sikkerhed. Det beregnes ved at sammenligne de forventede tab uden sikkerhedstiltaget med tabet, efter at tiltaget er implementeret – og trække omkostningen til sikkerheden fra.
Formlen ser sådan ud:
ROSI = (Reduktion i forventet tab – Omkostning til sikkerhed) / Omkostning til sikkerhed
Med andre ord: ROSI viser, hvor meget værdi du får for hver krone investeret i IT-sikkerhed.
Et simpelt eksempel
Forestil dig en virksomhed, der vurderer, at et potentielt cyberangreb vil koste 400.000 kr. i tabt drift, tabte kunder og genopretning. Sandsynligheden for, at det sker inden for et år, vurderes til 25 %.
Det forventede årlige tab uden sikkerhed er altså 100.000 kr.
Virksomheden vælger at investere 50.000 kr. i forbedret adgangsstyring, backup og awareness-træning. Efter tiltaget vurderes sandsynligheden for et brud til kun 10 %.
Det forventede tab bliver nu 40.000 kr.
Reduktion i forventet tab: 60.000 kr. ROSI = (60.000 – 50.000) / 50.000 = 0,2 = 20 % afkast.
Det betyder, at virksomheden får 1,20 kr. tilbage for hver krone investeret – og det oveni en markant lavere risiko.
Sådan bruger ISO 27001 ROSI-princippet
ISO 27001 kræver, at man identificerer, vurderer og håndterer risici – men siger ikke præcis, hvordan man skal prioritere sine kontroller. ROSI giver et kvantitativt beslutningsgrundlag for at vælge de rigtige tiltag.
Trin 1 – Identificér aktiver og trusler
Kortlæg de systemer og data, der er afgørende for driften. Hvilke processer stopper, hvis de kompromitteres?
Trin 2 – Vurder sandsynlighed og konsekvens
Giv hver risiko en værdi. Fx kan en mailkonto have lav sandsynlighed for kompromittering, men høj konsekvens, hvis det sker.
Trin 3 – Beregn det forventede
Sandsynlighed × konsekvens = forventet tab. Dette danner grundlaget for din ROSI-beregning.
Trin 4 – Vælg sikkerhedstiltag og beregn effekten
Når du kender dine største risici, kan du vælge passende kontroller – fx fra ISO 27001 Annex A – og estimere, hvor meget risikoen reduceres.
Typiske misforståelser om ROSI
“IT-sikkerhed kan ikke måles i kroner og øre”
Jo, det kan den – hvis man oversætter risici til forretningsmæssige konsekvenser. Det handler ikke om teknik, men om at forstå, hvad driftstab, datatab og tillidstab koster.
“Vi har aldrig haft et brud, så risikoen er lav”
Manglende hændelser er ikke lig med lav risiko. Mange angreb opdages først, når det er for sent. ROSI handler netop om at forudse og forebygge tab.
“Sikkerhed er bare compliance”
Compliance er et resultat – ikke målet. ROSI hjælper dig med at bruge sikkerhed strategisk, så du både opfylder krav og skaber værdi.
Eksempler fra virkeligheden
Eksempel 1 – Produktionsvirksomhed: En mellemstor produktionsvirksomhed havde ustabil drift pga. manglende netværkssegmentering. Efter en investering på 40.000 kr. i netværkskontrol og backup sparede virksomheden ca. 120.000 kr. i årlig nedetid. → ROSI: 200 %.
Eksempel 2 – Konsulentvirksomhed: Et mindre konsulenthus implementerede ISO 27001 for at opfylde kundekrav. Det åbnede for nye udbud og sikrede en ny kontrakt til 250.000 kr. → ROSI: direkte positiv omsætningseffekt.
Hvor meget skal man investere?
IT-sikkerhed behøver ikke være dyrt. Hos os koster en konsulenttime 560 kr., og vi tilbyder altid en uforpligtende samtale, hvor vi gennemgår din nuværende situation og finder ud af, hvor du får mest værdi for pengene.
Ofte kan du komme et godt stykke af vejen for 10.000 kr. – fx med en grundlæggende risikovurdering, kortlægning af aktiver og et første ROSI-estimat.
Det giver dig et klart overblik og et solidt beslutningsgrundlag, før du går videre med større initiativer.
Sådan beregner du ROSI i din egen virksomhed
Kortlæg dine vigtigste aktiver og trusler.
Vurder sandsynlighed og konsekvens for hver risiko.
Beregn det forventede tab (før og efter sikkerhedstiltag).
Indsæt tallene i ROSI-formlen.
Prioritér de tiltag, der giver højest afkast – eller størst risikoreduktion.
Målet er ikke et perfekt regnestykke, men at gøre IT-sikkerhed forståelig for ledelsen og skabe et fælles grundlag for beslutninger.
Konklusion – IT-sikkerhed er en investering, ikke en udgift
Return on Security Investment handler om at se sikkerhed i et nyt lys. Når du kan dokumentere, at IT-sikkerhed giver afkast – ikke kun beskyttelse – bliver det langt lettere at få ledelsen og forretningen med på rejsen.
Med ISO 27001 som ramme og ROSI som værktøj kan du vise, at sikkerhed ikke er et nødvendigt onde, men en strategisk fordel, der styrker drift, tillid og konkurrenceevne.
Få overblik, rådgivning og værdi for pengene
Hos Practical Solutions hjælper vi virksomheder med at skabe forretningsværdi gennem IT-sikkerhed. Vi rådgiver inden for NIS2, ISO 27001, risikovurdering og forretningskontinuitet, og vi gør det enkelt, forståeligt og økonomisk realistisk.
Vores konsulenter tager kun 560 kr. i timen, og du kommer langt for 10.000 kr. – fx med et ROSI-overblik eller en sikkerhedsgennemgang.
