Incidentrespons för AI: Viktiga mätvärden att spåra
AI-system misslyckas annorlunda än traditionella IT-system – problem som minskad noggrannhet, partiskhet eller dataläckor går ofta obemärkt förbi i dagar. Mellan 2023 och 2024 ökade AI-relaterade incidenter med 56.4%, med medelvärde av detekteringstider 4,5 dagar. Denna försening medför risker, särskilt eftersom förordningar som EU:s AI-lag kräver rapportering av allvarliga incidenter inom 15 dagar.
För att hantera AI-fel effektivt behöver du spåra mätvärden som mäter detektering, respons och återställning. Viktiga mätvärden inkluderar:
- Mean Time to Detect (MTTD)Mäter hur snabbt incidenter identifieras.
- Detektionsfrekvens: Spårar hur många incidenter som flaggas korrekt.
- Medeltid att svara (MTTR): Utvärderar hur snabbt team agerar efter detektering.
- Falskt positiva/negativa frekvenserBalanserar larmnoggrannheten för att undvika missade hot eller onödigt brus.
- Kostnad per incidentKvantifierar den ekonomiska effekten av förseningar och dåliga svar.
- Avkastning på värdepappersinvesteringar (ROSI)Visar hur säkerhetsverktyg sparar pengar och minskar risker.
AI-fel kräver proaktiv övervakning och skräddarsydda responsstrategier. Sådana mätvärden säkerställer att dina system inte bara är funktionella utan också säkra och tillförlitliga.
Viktiga mätvärden och riktmärken för AI-incidentrespons
Planering av incidenthantering i AI-åldern
sbb-itb-59e1987
Detektionsmätvärden
Detektionsstatistik hjälper till att mäta hur snabbt och exakt ditt system identifierar AI-relaterade incidenter, såsom avvikelser, bias eller hallucinationer. Dessa mätvärden fungerar som din första försvarslinje mot potentiell skada.
Mean Time to Detect (MTTD)
MTTD beräknar den genomsnittliga tiden det tar att upptäcka en incident från det ögonblick den inträffar. För AI-system är detta mätvärde avgörande eftersom problem som attacker eller systemfel kan eskalera snabbt.
Ledande säkerhetsteam siktar på en MTTD på 30 minuter till 4 timmar. Förseningar bortom detta fönster ökar risken avsevärt. Ta Microsoft Midnight Blizzard-attacken från november 2023 som ett exempel. Den upptäcktes inte förrän den 12 januari 2024 – vilket resulterade i en två månader lång MTTD. Denna förlängda upptäcktstid förvandlade vad som kunde ha varit ett mindre intrång till en större kompromiss.
"En kortare MTTD indikerar generellt att en organisation kan upptäcka säkerhetsincidenter snabbare och reagera mer effektivt på dem." – Katie Bykowski, Swimlane
För att förbättra MTTD, bredda din telemetri till att inkludera AI-specifik och molnbaserade attackmönster. Efter varje incident, granska loggar för att förfina dina detekteringspunkter och uppdatera din logik. Med tanke på ransomware-operatörer kan slutföra sina mål på under 24 timmar, snabbare upptäckt är avgörande för att begränsa potentiell skada.
Detektionsfrekvens
Hastighet är inte den enda faktorn – noggrannhet spelar också roll. Detekteringsgraden mäter andelen faktiska incidenter som era övervakningssystem framgångsrikt identifierar.
Du kan beräkna detektionstäckningen genom att dividera antalet aktiva, testade detektioner med det totala antalet tekniker i ett ramverk som MITRE ATT&CK, som listar 194 tekniker. Även om perfekt täckning inte är möjlig, finner de flesta organisationer att ~65% täckning (cirka 127 tekniker) räcker för att hantera vanliga hotbeteenden. Fokus bör ligga på att kartlägga dina detekteringsmöjligheter mot ramverk och identifiera luckor i täckningen.
"Det brukade ta oss dagar att upptäcka problem med en ny version. Nu… kan vi identifiera och åtgärda ett problem samma dag så att kunderna kan lägga beställningar smidigt." – Willie James, chef för Resiliency Services, Papa Johns
Historiska intrång belyser kostnaden för låga upptäcktsnivåer. Till exempel förblev Equifax-intrånget 2017 oupptäckt. över 70 dagar, och SolarWinds-attacken 2019 förblev dold i ungefär halvår. För AI-system är traditionella mätvärden ofta otillräckliga när det gäller att hantera tysta fel som modellavvikelser, vilket kan försämra prestandan utan att utlösa larm. Beteendeövervakning, inte bara noggrannhetskontroller, är nyckeln till att upprätthålla höga detekteringsnivåer.
Att balansera detektionstäckning med precision leder oss till vikten av att hantera falskt positiva och falskt negativa resultat.
Falskt positiva och falskt negativa frekvenser
Falska positiva resultat uppstår när normalt systembeteende felaktigt flaggas som ett problem. Falska negativa resultat, å andra sidan, är verkliga hot som går obemärkta förbi – vilket innebär allvarliga risker eftersom de i tysthet orsakar skada.
Alltför många falska positiva resultat kan överbelasta team med onödiga varningar, medan alltför strikta tröskelvärden kan leda till farliga falska negativa resultat.
""Det enda som är värre än ett falskt positivt är ett falskt negativt resultat där ett allvarligt hot förbises eftersom ett verktyg har vridits ner för mycket." – Katie Bykowski, Swimlane
Högpresterande säkerhetsteam strävar efter en falsk negativ frekvens vid eller under 1%. Andelen falskt positiva resultat varierar dock beroende på hur allvarliga varningarna är:
| Varningsallvarlighetsgrad | Målfrekvens för falskt positiva |
|---|---|
| Kritisk | < 25% |
| Hög | < 50% |
| Medium | < 75% |
| Låg | < 90% |
AI-incidenter ökar komplexiteten ytterligare. Tysta fel, såsom hallucinationer – utdata som med säkerhet är felaktiga – kanske inte utlöser felloggar. För att åtgärda detta, etablera återkopplingsslingor i din incidenthanteringsprocess för att kontinuerligt justera tröskelvärden. Övervaka regelbundet indatafördelningar för att upptäcka dataavvikelser tidigt, vilket säkerställer att dina AI-system förblir tillförlitliga och effektiva. Denna proaktiva strategi hjälper till att upprätthålla både systemintegritet och driftsstabilitet.
Mått för responseffektivitet
När en AI-incident uppstår är det avgörande att agera snabbt. Att bygga vidare på detekteringsmått kan öka responstiderna – mätt genom mätvärden som MTTR och MTTA – avsevärt minska riskerna i samband med AI-fel. Dessa mätvärden utvärderar hur snabbt ditt team går från att identifiera ett problem till att vidta åtgärder, vilket direkt påverkar den potentiella effekten av en incident.
Medeltid att svara (MTTR)
MTTR mäter den genomsnittliga tid det tar att upptäcka, åtgärda och återställa system efter en incident. För AI-system är detta särskilt viktigt eftersom hot kan spridas i maskinhastighet. Det som tar sekunder för en angripare kan ta mycket längre tid för ett responsteam att begränsa.
AI-verktyg kan drastiskt förbättra svarstiderna. Till exempel, AI-drivna processer kan minska utredningstiderna till under 3 minuter, jämfört med de 30–40 minuter som ofta krävs för manuella insatser.
I kritiska situationer bör organisationer sträva efter att MTTR ska vara under 30–60 minuter. Snabbare svar innebär mindre driftstopp och minskade kostnader.
"När AI-system kan undersöka varningar på mindre än en minut och tillhandahålla beslutsfärdiga rapporter, börjar den traditionella MTTR-klockan ticka annorlunda." – Ajmal Kohgadai, chef för produktmarknadsföring, Prophet Security
För att uppnå kortare MTTR, överväg att använda Säkerhetsorkestrering, automatisering och respons (SOAR) plattformar för att hantera repetitiva uppgifter som att berika varningar och meddela viktiga intressenter. Enhetliga SIEM/XDR-plattformar kan också centralisera insyn, vilket gör det enklare att komma åt viktig data och reagera snabbt.
Att förbättra MTTR lägger också grunden för snabbare varningsbekräftelser, mätt med MTTA.
Medeltid till bekräftelse (MTTA)
MTTA spårar tiden mellan när en varning genereras och när den bekräftas, antingen av en person eller ett automatiserat system. Denna mätvärde kan avslöja om ditt team är överbelastat av för många varningar eller om det finns luckor i täckningen under vissa tider.
AI-system kan omedelbart börja undersöka varningar, vilket ofta reducerar MTTA till nästan noll. Detta är avgörande för företags-SOC:er, som kan hantera över 10 000 varningar dagligen – en ohanterlig volym enbart för manuella processer.
""MTTA (Mean Time to Acknowledge) mäter tiden tills en analytiker börjar utreda en varning... I tätt integrerade miljöer påbörjar AI SOC-analytiker utredningar omedelbart, vilket effektivt eliminerar MTTA i många fall." – Prophet Security
När AI tar över den initiala triagen flyttas fokus till "Medeltid till mänskligt beslut", vilket mäter tiden från det att en AI slutför sin rapport till dess att en mänsklig analytiker antingen godkänner eller eskalerar beslutet. Detta hjälper till att bedöma om AI-resultaten är tydliga och handlingsbara. För att förbättra MTTA (Medeltid till mänskligt beslut), ställ in återkommande aviseringar för att omedelbart meddela jourpersonal och använd MTTA-data för att justera bemanning under perioder med hög beredskap.
Automatiserad svarsfrekvens
Att snabba upp de första svaren är bara början. Automatisering av lösningar tar effektiviteten till nästa nivå genom att minska MTTR från timmar eller dagar till bara sekunder eller minuter. Den automatiserade svarsfrekvensen mäter hur många incidenter som löses utan mänsklig inblandning, vilket förbättrar den totala responseffektiviteten.
Till exempel implementerade ett digitalt försäkringsbolag med nästan 2 miljoner kunder år 2025 AI SOC-analytiker för att hantera sin överväldigande larmvolym. Resultatet? Kontinuerlig övervakning dygnet runt, inga missade larm, färre falska positiva resultat och betydande kostnadsbesparingar genom att undvika ytterligare anställningar. Deras mänskliga team kunde då fokusera på högprioriterade säkerhetsproblem istället för repetitiva uppgifter.
"Dropzone sparar dig och ditt team så mycket tid från överflödiga uppgifter som ingen vill göra… Det låter er lösa kritiska problem som du och ditt team inte har bandbredden att lösa." – Medlem i säkerhetsteamet, Digital Insurance Company
AI SOC-system kan minska MTTR med 70%–90%. För incidenter med hög volym, som nätfiske, kan automatisering minska svarstiderna med över 95%. För att maximera effektiviteten, identifiera förutsägbara, frekventa incidenter – som lösenordsåterställningar eller hantering av känd skadlig kod – som främsta kandidater för automatisering. Använd konfidenspoängning för att avgöra vilka incidenter som kan automatiseras helt och vilka som kräver mänsklig input. Slutligen, integrera dina automatiseringsverktyg med alla detekteringssystem för att eliminera datasilos som saktar ner svaren.
| Svarstyp | Hastighet | skalbarhet | Konsistens |
|---|---|---|---|
| Manuellt svar | Minuter till timmar | Begränsat av personalstyrka | Variabel beroende på erfarenhet |
| Automatiserat svar | Sekunder till minuter | Praktiskt taget obegränsat | Standardiserad utförande |
Finjustering av dessa mätvärden för responseffektivitet förbättrar tidigare upptäcktsinsatser och stärker er övergripande strategi för incidenthantering.
Åtgärdnings- och återställningsmått
Snabba åtgärder är avgörande vid incidenter, men det slutgiltiga målet är att säkerställa en fullständig och tillförlitlig lösning. Åtgärds- och återställningsmått hjälper till att bekräfta att incidenter är helt lösta och att systemen återställs till tillförlitlig drift.
Genomsnittlig tid för åtgärd
Medeltiden för åtgärd (MTTR) spårar hela processen från upptäckt till lösning. Den beräknas genom att dividera den totala tiden som läggs på åtgärd med antalet åtgärdade incidenter. För AI-system inkluderar detta triage, diagnostik, reparationer och valideringssteg.
Intressant nog, om 90% av företag Börja mäta MTTR först efter att en biljett har skapats, vilket kan dölja betydande förseningar. Bästa praxis rekommenderar dock att klockan startas vid detekteringsögonblicket.
""90% av företag börjar inte mäta några MTTx-resultat förrän en supportförfrågan har skapats. Men när man hoppar över steg i processen manipulerar man resultaten av MTTR." – Brian Amaro, Sr. Director Global Solutions, ScienceLogic
Topppresterande organisationer strävar efter att åtgärda kritiska problem med AI-system på under 60 minuter, med vissa mållösningar inom 30 minuter. För mer komplexa inställningar är ett riktmärke på under fem timmar vanligt.
För att påskynda åtgärden, fokusera på att automatisera diagnostik, underhålla detaljerade runbooks för frekventa problem och centralisera systemövervakning. Granskningar efter incidenter kan hjälpa till att identifiera förseningar som orsakas av flaskhalsar i godkännanden, ofullständig dokumentation eller samordningsutmaningar.
Systemåterställningshastighet
När åtgärden är klar säkerställer återställningsmått att åtgärderna är både effektiva och omfattande.
Systemåterställningshastigheten mäter andelen AI-system som återställts till full operativ status efter en incident. Till skillnad från traditionell IT-återställning, som fokuserar på serverdrifttid, måste AI-återställning bekräfta att modelllogik, dataintegritet och säkerhetsprotokoll är intakta – inte bara att systemet körs.
Återställningen är endast fullständig när systemet fungerar säkert med verifierade korrigeringar. Detta inkluderar att åtgärda problem som modellavvikelser eller bias som kan uppstå efter en incident. Traditionella återställningsmått misslyckas ofta här eftersom AI-fel tenderar att vara oförutsägbara och komplexa.
Med AI-relaterade incidenter som förväntas öka med 56,4% år 2024 och företagens implementering av GenAI når 71%, återställningsstrategier måste anpassas. Effektiv återställning innebär att verifiera modelllogik, säkerställa dataintegritet och upprätthålla säkerhetsåtgärder. Att ha ett bibliotek med validerade modellversioner och använda verktyg som funktionsgrindar eller kill switchar kan hjälpa till att hantera instabila komponenter.
För kritiska system, överväg att implementera "säkra lägen" där bearbetningen övergår till mänsklig drift om AI-utdata blir otillförlitliga. Under återställning möjliggör etappvisa utrullningar kontrollerad testning av korrigeringar innan full driftsättning. Lowes SRE-team visade värdet av strukturerad återställning och minskade deras genomsnittliga återställningstid med över 80% genom disciplinerade incidenthanteringsmetoder.
Att mäta återhämtningen säkerställer att systemen inte bara är operativa utan också säkra och tillförlitliga.
Andel förstagångsreparationer
En hög andel åtgärdade problem vid första försöket är avgörande för att förhindra återkommande problem och bygga långsiktig motståndskraft.
Denna mätmetod spårar andelen incidenter som lösts framgångsrikt på första försöket. För AI-system är det särskilt viktigt eftersom fel ofta är probabilistiska snarare än enkla – snabba lösningar kan förbise djupare problem som dataavvikelse eller modellbias.
Upprepade misslyckanden kan snabbt urholka förtroendet, särskilt eftersom AI-beslut ofta har direkta säkerhets- eller ekonomiska konsekvenser.
För att förbättra andelen förstagångsåtgärder, kategorisera vanliga fel och dela dem med utvecklingsteam för rotorsaksanalys under granskningar efter incidenter. Bygg en centraliserad kunskapsbas som dokumenterar lösningar på tidigare AI-problem och specificerar modellspecifika nyanser. Detta förhindrar att räddningspersonal slösar tid på att återupptäcka lösningar för kända problem. SOAR-plattformar kan också hjälpa till genom att automatisera standardiserade åtgärdssteg, minska mänskliga fel och förbättra konsekvensen.
Tilldela tydliga ägarroller, såsom "modellägare" eller "dataägare", i förväg för att säkerställa att rätt expertis finns tillgänglig under incidenter. Regelbundna simuleringar och övningar – att öva på procedurer som modellåterställning eller aktivera kill switches – kan förbereda team för att hantera incidenter effektivt första gången.
""Incidenthantering för AI handlar inte om att eliminera fel, utan om att minimera skada när fel inträffar." – Timnit Gebru, Distributed AI Research Institute
Mätvärden för affärspåverkan
Mätvärden för affärspåverkan belyser de ekonomiska konsekvenserna av AI-relaterade incidenter. De skapar en direkt koppling mellan hur väl incidenter hanteras och de ekonomiska resultaten, vilket gör det lättare att motivera utgifter för säkerhetsåtgärder och att visa fördelarna med att vara förberedd.
Incidentinneslutningsgrad
Incidentinneslutningsgraden utvärderar hur effektivt du kan stoppa AI-incidenter från att eskalera, mätt med medeltiden för att begränsa (MTTC) – den tid det tar från att upptäcka ett problem till att isolera de berörda resurserna.
För AI-system är inneslutning mer nyanserat än inom traditionell IT. Det handlar inte bara om att inaktivera komprometterade inloggningsuppgifter eller stänga av en server. Det kan innebära att man återställer till en tidigare modellversion, använder funktionsgrindar för att inaktivera vissa AI-funktioner eller byter till manuella reservlägen när automatiserade system slutar fungera.
"En lägre MTTC innebär att dina handböcker för inneslutning och automatisering fungerar – och du begränsar explosionsradien innan angriparna blir bekväma." – Wiz
AI-misslyckanden medför ofta unika utmaningar eftersom de kan icke-deterministisk. Till exempel är problem som indirekt snabbinjektion tvetydiga och tekniskt knepiga, vilket gör det svårt att avgöra när en incident är helt innesluten. Därför är det viktigt att definiera inneslutningskriterier för specifika typer av AI-fel – som dataläckor kontra modellförgiftning – innan problem uppstår.
Med 71% av företagen använder nu GenAI, men färre än ett av sju är fullt förberedda på AI-säkerhetsrisker, och är snabb och effektiv inneslutning avgörande. Angripare kan röra sig lateralt över molntjänster på bara några minuter, så att identifiera högriskvägar i din AI-installation och implementera kill switches för snabb manuell inneslutning kan göra hela skillnaden.
Dessa inneslutningsstrategier lägger grunden för att mäta de ekonomiska konsekvenserna av incidenter.
Kostnad per incident
Varje timme en AI-relaterad incident förblir olöst ökar den ekonomiska kostnaden. Enligt IBM kostar varje timmes försening under ett säkerhetsintrång cirka $800. För AI-system stör dessa incidenter drifttiden, äventyrar dataintegriteten och urholkar kundernas förtroende, vilket allt driver upp kostnaderna.
Du kan beräkna din kostnad per incident med hjälp av denna formel: (Totalt antal utredningar per år) × (% hög allvarlighetsgrad) × (förseningstimmar) × (timkostnad för intrång). Fokusera på allvarliga incidenter, som vanligtvis utgör cirka 1% av alla varningar, eftersom de har den mest betydande ekonomiska effekten.
Att effektivisera AI-incidentrespons kan dramatiskt minska dessa kostnader. Till exempel kan autonom larmutredning minska den genomsnittliga svarstiden från sex timmar till bara trettio minuter i allvarliga fall. Att minska svarstiden med 5,5 timmar över 80 allvarliga incidenter skulle kunna spara $352,000 årligen.
När du beräknar kostnader, inkludera både direkta kostnader som driftstörningar och åtgärdsinsatser, såväl som indirekta effekter som dataexponering och sidoförflyttning. Om din organisation kör AI-arbetsbelastningar på specialiserad infrastruktur, ta även hänsyn till kostnaderna för att hantera AI GPU-servrar under återställning. Tjänster som Serverion’s AI GPU-serverhantering kan bidra till att minimera driftstopp och minska driftskostnader genom att tillhandahålla pålitlig infrastruktur med inbyggd övervakning och support.
Att spåra mätvärden som "kostnad per fördröjning med hög allvarlighetsgrad" och "genomsnittlig analytikertid per varning" kan hjälpa till att finjustera dina beräkningar och identifiera områden där automatisering kan spara mest pengar.
Avkastning på värdepappersinvesteringar (ROSI)
Med utgångspunkt i kostnadsdata för incidenter kvantifierar Return on Security Investment (ROSI) de ekonomiska fördelarna med att investera i starka responsverktyg. Den belyser värdet av säkerhetsinvesteringar genom att visa kostnadsbesparingar, skydda ditt varumärke och uppfylla efterlevnadskrav. För AI-incidentrespons motiverar ROSI utgifter för verktyg och infrastruktur som begränsar effekterna av incidenter.
AI-fel, såsom datadrift eller hallucinationer, går ofta obemärkt förbi men kan orsaka ekonomisk skada med tiden. Traditionella drifttidsmått kan visa att system fungerar smidigt, även om felaktiga utdata i tysthet dränerar resurser eller skadar affärsverksamheten.
"Organisationer måste behandla AI-incidenter som sociotekniska händelser, inte bara tekniska buggar." – Kate Crawford, AI Now Institute
För att beräkna ROSI för AI-incidentrespons, koppla tekniska effekter – som komprometterade identiteter, påverkade resurser eller dataläckor – till affärskritiska tjänster. Spåra mätvärden som antalet påverkade identiteter och den laterala spridningen av incidenter över regioner för att uppskatta potentiella kostnader. Effektivitetsmått som "incidenter per persontimme" kan också visa värdet av att lägga till analytiker eller automatisera responsprocesser.
Stark insatsförmåga vid incidenter minskar inte bara kostnaderna – den bygger också förtroende. Snabbare återställningstider och bättre beredskap ger organisationer en konkurrensfördel. När ni kan visa att era säkerhetsinvesteringar har sparat hundratusentals dollar årligen blir det mycket lättare att argumentera för fortsatt eller ökad finansiering.
Slutsats
Att spåra rätt mätvärden förvandlar AI-incidentrespons till en välstrukturerad, datafokuserad process. Mätvärden som Mean Time to Detect (MTTD), Medeltid att svara (MTTR), Kostnad per incident, och Avkastning på värdepappersinvesteringar (ROSI) lägga grunden för att identifiera operativa svagheter, åtgärda högriskvarningar och hantera resurser mer effektivt.
AI-misslyckanden smyger sig ofta in genom problem som datadrift eller modellhallucinationer. Eftersom dessa misslyckanden är probialistiska kräver de kontinuerlig övervakning – snabba lösningar och traditionella mätvärden som drifttid räcker helt enkelt inte till.
""Incidenthantering för AI handlar inte om att eliminera fel, utan om att minimera skada när fel inträffar." – Timnit Gebru, Distributed AI Research Institute
Att använda flera mätvärden tillsammans – vanligtvis kallat triangulering – ger en tydligare bild av er incidenthanteringsmognad. Att bryta ner data efter allvarlighetsgrad säkerställer att kritiska problem får den uppmärksamhet de behöver. Samtidigt kan man spåra kvalitetsindikatorer som Återöppningsfrekvens kan avslöja om lösningar riktar sig mot kärnproblem eller bara behandlar symtom. En väl avrundad metrisk strategi stärker både detektering och respons samtidigt som den stärker infrastrukturens motståndskraft. För organisationer som förlitar sig på specialiserad AI-infrastruktur är det lika viktigt att utvärdera driftskostnader och återställningsmöjligheter. Tillförlitliga hostingalternativ, som de från Serverion, kan bidra till att minska driftstopp och upprätthålla kontinuitet.
I det långa loppet leder denna metod till kostnadseffektivitet, starkare relationer med tillsynsmyndigheter och kunder, och ett mer kunnigt team. Med den ökande frekvensen av incidenter är den verkliga utmaningen inte att helt och hållet förhindra misslyckanden – det är att se till att din respons är snabb och effektiv.
Vanliga frågor
Vilka är de första 3 AI-incidentmåtten att spåra?
De tre viktigaste mätvärdena att hålla koll på för AI-incidenter är detekteringstid, svarstid, och systemåterställningshastigheter. Dessa mätvärden hjälper till att mäta hur snabbt problem upptäcks, åtgärdas och löses, vilket är avgörande för att hålla dina AI-system pålitliga och säkra.
Hur kan vi upptäcka modelldrift och hallucinationer snabbare?
Att snabbt upptäcka modelldrift och hallucinationer innebär att man noga kan se hur modellen presterar, kvaliteten på de data den bearbetar och hur konsekventa dess förutsägelser är. Verktyg som realtidsavvikelsedetektering och beteendeövervakning kan flagga problem så snart de uppstår. Dessutom ger spårningssystemets mätvärden i realtid ett extra lager av insikt, vilket gör det enklare att upptäcka oväntade resultat eller avvikelser innan de eskalerar.
Hur beräknar vi kostnaden per AI-incident och ROSI?
För att lista ut kostnad per AI-incident, ta den genomsnittliga kostnaden för en incident med hög allvarlighetsgrad (till exempel $800 per timme) och multiplicera den med svarstiden, vanligtvis kallad MTTR (medeltid för att svara). Beräkning ROSI Avkastning på säkerhetsinvesteringar (Return on Security Investment) innebär att man utvärderar både riskreducering och ekonomiska besparingar. Att minska MTTR kan till exempel leda till betydande årliga besparingar – potentiellt tusentals dollar – genom att möjliggöra snabbare upptäckt och respons.
