Return On Security Investment (ROSI) ist eine Ertragsberechnung auf das in die IT-Sicherheit investierte Kapital. Da Sicherheitsinvestitionen keinen unmittelbar errechenbaren Nutzen darstellen, sondern lediglich den Abzug von Werten vermeiden, gestaltet sich die Ermittlung des Return on Security Investment als äußerst problematisch.
Die Investitionen in die IT-Sicherheit sind gekennzeichnet durch Unsicherheit und Angst und werden von anderen Einflüssen bestimmt, so durch die Gesetzgebung, potenzielle Haftung, mögliche Auswirkungen auf die Einnahmen, durch die übliche Branchenpraxis oder durch Forderungen von Geschäftspartnern.
Die Bewertung des Risikos und die Bemessung der Sicherheitsmaßnahmen sind die wichtigsten Kriterien für ROSI. Das reicht bei der Risikobewertung von Fragenkatalogen über Checklisten, Angriffsstrategien und Vertrauensmodellen bis hin zu Metriken zur Bewertung von Risiken und Schutzmaßnahmen. Die Bemessung der Risiken umfasst die wahrscheinliche Schadenshöhe, den Aufwand, den ein Angriff und dessen Abwehr mit sich bringen, sowie die Wahrscheinlichkeit, mit der ein bestimmtes Ziel als Angriffsziel ausgesucht werden könnte.