Come si misura il ROI degli investimenti nella sicurezza informatica?
Le valutazioni di contesto e gli esempi da seguire per passare da un’analisi quantitativa a una qualitativa.
I vantaggi di adeguate misure di sicurezza IT dovrebbero essere ormai tanto evidenti da rendere superfluo il calcolo del ritorno sull’investimento in cybersecurity a priori, oggi però non è così. Con Alberto Brera, Country Manager di Stormshield, parliamo di differenze tra ROI e ROSI e di come alcune aziende hanno monetizzato l’investimento in security.
ROI o ROSI: quale termine è più appropriato?
In un’azienda il ROI quantifica i risultati positivi, come un abbassamento dei costi generali o un incremento del fatturato. Questo calcolo non si può fare per valutare i benefici di investimenti in sicurezza informatica, dove si parla di ROSI. Trattandosi infatti di investimenti in prevenzione e limitazione dei danni, ovvero di misure per la gestione del rischio, con "ROSI" si mira a calcolare in prospettiva i danni che un‘organizzazione potrebbe evitare investendo nella messa in sicurezza delle proprie infrastrutture e dei propri dati. La modalità di calcolo del ROSI si differenzia peraltro notevolmente da quella utilizzata per il ROI a causa dell'elevato numero di variabili da considerare.
Perché il calcolo del ROSI è così complesso?
Le variabili di calcolo comprendono sia le possibili richieste di riscatto (ransomware) sia i costi diretti o indiretti per il ripristino dei sistemi dopo un attacco informatico, la cui entità non può essere definita al momento della valutazione. Vanno prese in considerazione anche le potenziali multe il cui importo è solo ipotizzabile, e/o le perdite dovute al potenziale danno di immagine generato da un incidente di sicurezza.
A ciò si aggiunge il fatto che un dato rischio può essere molto più rilevante per un'organizzazione e meno per altre, il che influenza grandemente la ponderazione di tutti i fattori. Ad esempio, quanto costa un'ora di indisponibilità di una piattaforma logistica a causa di un attacco DDoS? Quali sono i danni per invenzioni non ancora brevettate ma carpite in maniera illegittima attraverso attività di spionaggio o per la manipolazione / perdita di eventuali cartelle cliniche?
Ha senso fare un calcolo basato su supposizioni? Non ci sono modelli testati sul campo su cui i responsabili IT possano fare affidamento?
La varietà dei rischi da valutare rende difficile stabilire parametri di riferimento generalmente applicabili per questa valutazione. Le statistiche o i dati su incidenti di sicurezza noti presso aziende simili possono contribuire a fornire una guida, ma in ultima analisi questo calcolo deve essere effettuato ad hoc, tenendo conto anche del fatto che le soluzioni di sicurezza informatica da valutare sono molteplici in funzione del tipo di rischio informatico che dovrebbero prevenire. Questo lascia ai CISO ("Chief Information Security Officer") poco altro che sottolineare gli X milioni di euro di perdite che si potrebbero evitare investendo una frazione di essi nella messa in sicurezza della propria infrastruttura. Fondamentalmente, il manager IT assume il ruolo di broker assicurativo, che segnala i rischi per vendere le polizze. Ma la sicurezza informatica è molto di più. Non solo, oltre a queste proiezioni, già di per sé complesse, bisogna prendere in considerazione anche il fatto che le soluzioni di sicurezza informatica sono spesso dotate di funzioni non necessariamente vincolate alla mera tutela della rete. Un firewall, ad esempio, integra la gestione della QoS (Quality of Service), il filtraggio degli URL o la gestione di più link, fornendo una migliore connettività alle risorse aziendali. Allo stesso modo, le funzionalità SSL VPN e IPSec VPN offrono l'opportunità di impostare il telelavoro o la manutenzione remota, con la preservazione o l’aumento di produttività che ne consegue. Anche questi effetti vanno calcolati.
Il metodo EBIOS Risk Manager proposto dall’agenzia nazionale per la cybersecurity francese può aiutare le aziende ad identificare e comprendere i propri rischi?
Sì, sarebbe un approccio pragmatico. Con questo metodo, ogni tipo di attacco informatico viene elencato e classificato in base al suo impatto sull'azienda e a un costo. In questo modo è possibile attuare un piano di gestione del rischio (software antivirus, firewall, consapevolezza aziendale, ecc.), che può essere chiaramente quantificato. È quindi possibile effettuare un'analisi del ROSI sottraendo l'importo da investire dalle perdite previste. Una volta completato il calcolo, è importante valutare l'efficacia del piano di gestione del rischio come parte della logica di controllo dei costi. Ed ecco un altro ostacolo: Se si investe in soluzioni di cybersecurity e non si verifica alcun incidente, è perché non ce n'è stato nessuno o perché la soluzione in uso è efficiente? Sebbene il controllo regolare dei log sui tentativi di cyberattacchi può fornire una risposta, è addirittura consigliabile avere sempre dubbi sull'efficacia della soluzione.
Perché sarebbe opportuno realizzare un salto di qualità nell’approccio “cost oriented” alla sicurezza informatica?
La misurazione del ROSI si colloca esattamente tra l'analisi dei rischi e la razionalizzazione delle misure di protezione ed è quindi un compito complesso. Ciò che lentamente comincia ad emergere tra i nostri clienti è la necessità di cambiare paradigma e di passare da un'analisi assolutamente quantitativa a un'analisi che tenga conto anche del fattore qualitativo. È giunto il momento di vedere la sicurezza informatica come un'opportunità, non come una minaccia o un costo, per beneficiare di tutti i vantaggi che la cybersecurity offre.
Ci sono esempi di aziende che hanno fatto questo salto?
Certamente. Esistono modelli in cui la monetizzazione degli investimenti nella sicurezza informatica comporta maggiori entrate. Recentemente, ad esempio, la banca commerciale francese Société Générale ha introdotto "OPPENS", un servizio di coaching sicuro rivolto alle micro, piccole e medie imprese. L'obiettivo: vendere il know-how sviluppato internamente ad altre aziende e quindi monetizzare questi investimenti. Un altro ottimo esempio dalla Francia: Imprimerie Nationale, l'ente che stampa passaporti e carte d'identità francesi. Nel 2018, l‘Istituto Poligrafico dello Stato ha introdotto l'applicazione INWallet, una soluzione per la tutela dell'identità digitale. In questi due esempi, la vendita di cyber-servizi consente alle aziende di ampliare la propria offerta e rappresenta quindi un'opportunità di guadagno. C'è un altro aspetto che vale la pena di menzionare: sono sempre più numerosi i bandi di gara in cui le misure di sicurezza informatica adottate dai candidati rappresentano un criterio di selezione preferenziale. La sicurezza informatica può quindi diventare un elemento distintivo rispetto alla concorrenza.
