Dati alla mano, la non-sicurezza informatica rappresenta un costo non trascurabile per le aziende, che può però diventare un’opportunità di miglioramento e di competitività se affrontata adeguatamente.
Le aziende di oggi sono sistemi sociotecnici delicati, in cui le dinamiche sociali e di processo sono inestricabilmente interlacciate alle infrastrutture IT che li supportano: l’infrastruttura è strategica per il conseguimento degli obiettivi di business, ma se l’infrastruttura ha un problema, l’azienda ha un problema, se l’infrastruttura IT fallisce, l’azienda fallisce. Per questo, così come si cura la qualità del proprio prodotto o dei propri fornitori, è importante curare la qualità dell’infrastruttura tecnologica, al fine di supportare la continuità del business. E un sistema IT di qualità è un sistema IT funzionale, efficiente, sicuro, e quindi resiliente.
La resilienza digitale, però, ha un costo. E questo introduce nel meccanismo decisionale aziendale un ostacolo, dovuto ad uno scollamento tra competenze dirigenziali e competenze tecniche, da un lato, e tra competenze tecniche e competenze finanziarie dall’altro. In parole più semplici, la sicurezza digitale dell’azienda viene troppo spesso considerata materia per tecnici, le cui richieste di risorse sono trattate in un’ottica di contenimento dei costi. Ma minimizzare le spese per la sicurezza, così come minimizzare le spese per la manutenzione, porta a benefici solo apparenti nell’immediato, che finiscono con il trasformarsi in spese molto maggiori in futuro.
In risposta a queste difficoltà, l’approccio basato sul ROSI mira a fornire una valutazione dei rischi IT, e dunque dei costi attesi collegati alla non-sicurezza, confrontandoli con i benefici derivanti da un miglioramento della postura di sicurezza aziendale. La differenza tra investimenti in sicurezza e benefici economici dovuti alla migliore resilienza digitale, rappresentano il Return on Security Investment – il ROSI – nonché la chiave per decidere quanto e come investire.
Operativamente, il ROSI è calcolato come (ALE – mALE / I) / I, dove: ALE è la perdita monetaria annuale attesa, mALE è la perdita annuale attesa con soluzioni di sicurezza implementate, e I rappresenta il costo delle soluzioni di sicurezza.
In questa formula, è evidente che gli elementi critici sono i valori da assegnare alle variabili ALE e mALE.
Per poter rendere operativo e efficace l’utilizzo del ROSI occorre dunque una metodologia di IT risk assessment quantitativa, in grado di:
- Misurare la postura di sicurezza, analizzando l’infrastruttura tecnologica dell’azienda, le policy e i processi aziendali in atto, la compliance
- Stimare i rischi di intrusioni, data breach e eventuali sanzioni
- Quantificare l’esposizione economica
Il metodo ROSI, dunque, conferisce alle decisioni che riguardano l’infrastruttura IT una rilevanza strategica e economica, dando al management gli strumenti per decidere consapevolmente come posizionare l’azienda e quali rischi accettare in base degli obiettivi strategici.
