Der Begriff Return on Investment (ROI) ist eine betriebswirtschaftliche Bezeichnung für Kapitalrendite. Security Executives (Chief Security Officers, CSOs) haben diesen Begriff um den Invest in Sicherheitsmaßnahmen erweitert und so ergibt sich der RoSI (return on security invest).
Die Kosten für Sicherheitsmaßnahmen sollen spezifische Risiken neutralisieren, daher hilft der RoSI bei der Konzentration auf ein definiertes Risiko. Er berechnet sich wie folgt:
Risiko = (SLE * ARO * MitigationRatio - Kosten) / Kosten
Die „Single Loss Expectancy“ (SLE) beschreiben die Kosten bei einem Ausfall einer spezifischen Komponente.
Die „Annual Rate of occurrence“ (ARO) definiert die Häufigkeit mit der diese Komponente ausfallen könnte.
Das „MitigationRatio“ beschreibt um wieviel Prozent eine Sicherheitsmaßnahme den Ausfall dieser Komponente verhindert könnte.
Subtrahiert man von dem Produkt der drei vorgenannten Elemente die Kosten und dividiert das Ergebnis dann durch diese Kosten, ergibt sich das prozentuelle Risiko welches nach der Installation der Sicherheitsmaßnahme bleibt. Mit diesem Wert wird die Entscheidung für oder gegen den Invest zur Installation dieser Sicherheitsmaßnahme vereinfacht.