Gbitten

Desconfio que se um dia conseguirem fazer um ROI imparcial de um IPS, o resultado será negativo, ou seja o investimento em um IPS não se justificaria. Por isso, me espantei quando li este paper com o seguinte resultado:

Annual Return on Investment
Cost of Investment             $200,000
Savings                        $3,876,084
ROI                            19.38:1

Uma economia anual de quase 4 milhões de dólares, retornando mais de 19 dolares por dolar investido! Com um resultado tão bom é preciso analisar o cálculo deste ROI. O paper utiliza o incidente de proliferação do worm Slammer para calcular o ROI.

IT Cost Avoidance — The average cost of the Slammer
virus in IT time alone amounted to $240,000. In 2003
there were four similar outbreaks
Annual cost = $1 million

240 mil dolares em pessoal de TI para resolver o incidente do Virus Slammer? Com essa quantia é possivel contratar um Security Analyst (U$ 74.874,00), um Database Administrator (U$ 81.301,00) e um Systems Administrator (U$ 63.698,00) por UM ANO.

Protected Revenue Stream — E-Commerce is relatively
small with an average of 16,000 orders per hour. The
downtime amounted to $60,000 an hour. Some companies
were down for up to sixty hours, with an average of
ten hours per major outbreak in 2003, where there were
four similar outbreaks
Annual cost = $2.4 million

Eu me lembro muito bem do Slammer. Na época eu era responsável por um site de e-gov com características muito próxima do exemplo descrito no paper, mas com uma pequena diferença, ao invés de 10 horas de indisponibilidade, o sistema permaneceu o tempo todo funcionando. E sem nenhum IPS para protege-lo.

Cost of Ownership — Prior to using McAfee IntruShield,®
there were six dedicated IDS analysts. By installing
IntruShield Appliances this resource was reduced to two
and four were redeployed to proactive roles
Annual cost = $400,000

400 mil dolares de custo anual para o IPS e dois Analistas full time para resolver o problema do Slammer. Não seria mais barato aplicar os patches de segurança no site em questão, já que a correção da vulnerabilidades utilizada pelo worm foi publicada seis meses antes do ataque? Foi o que fizemos na época, e com certeza não nos custou U$ 400.000,00 manter o ambiente de produção atualizado.

A maioria dos cálculos de ROI que eu observo são peças de marketing que não resistem a uma análise profunda. Ao menos, tenho que reconher uma vantagem do ROI, com um pouco de esforço é fácil identificar se um cálculo que foi realizado de forma imparcial.

Marcadores: IPS, ROI

postado por Gustavo Araujo Bittencourt  # 12:57 PM