Можно ли посчитать ROI по безопасности?

И вновь вернусь к этой животрепещущей теме ;-) Так и не выложил я реальные цифры по расчету ROI по методу Монте-Карло - руки все не доходят оформить это надлежащим образом. Но зато наткнулся неделю назад еще на одну статью , посвященную этому вопросу. А в статье дана ссылка на калькулятор ROSI (Return on Security Investment). Забавный инструмент. Формула там "простая" - из монетарной стоимости снижаемых рисков надо вычесть стоимость защитных мер, направленных на это самое снижение. Калькулятор работает в два шага. На первом надо посчитать цену всех инцидентов (что может быть проще ;-), а на втором - стоимость защитных мер (security controls). Дальше калькулятор все сделает за вас и выдаст вам в результате расчет ROSI. ЗЫ. Калькулятор бесплатный, но зарегистрироваться на сайте придется. ЗЗЫ. От себя добавлю, что вывод, который я озвучил на форуме директоров по ИБ в презентации по финансовой оценке проектов по ИБ, верен и в данном калькуляторе. Чтобы посчитать стоимость инцидентов вам необходимы данные, которых обычно у служб ИБ нет - они в ведении ИТ-департаментов, финансовых департаментов и других бизнес-подразделений. Это вам не объем спама или число дыр считать ;-)