Le spese in sicurezza possono essere considerate investimenti? La domanda non è banale. La sicurezza, è sempre stato chiaro fin dalle palizzate erette intorno ai villaggi per proteggersi dai predatori notturni, funziona in un suo modo specifico, apparentemente senza zone di incertezza: se ce l’hai quando serve, arrivi al giorno successivo; se non ce l’hai, no. Ma finché non serve, sono un sacco di bei pali che avremmo potuto usare per scaldarci la notte anziché tenerli piantati nel terreno a far niente.
Figura 1 – Principali problematiche di sicurezza che le imprese stanno affrontando
(cliccare sull’immagine per visualizzarla correttamente)
Insomma, sulla sicurezza non si spende se non per tutelarsi contro qualcosa che si teme – e per temerlo vuol dire che deve già essere successo almeno una volta (anche a qualcun altro, naturalmente, se ci ha spaventato a sufficienza). Questo qualcosa può essere un evento dannoso vero e proprio; oppure, più spesso, il timore di una sanzione o di una multa, quando il legislatore ha voluto favorire delle decisioni che sarebbero altrimenti antieconomiche – spesso assolutamente conformi al buon senso, se non alle esigenze della contabilità. Ma l’investimento in sicurezza è sempre soggetto a numerosi ostacoli e dubbi, tanto che l’adeguatezza del budget è spesso citata come un problema ricorrente.
Per superare queste difficoltà, perché non pensare alla sicurezza come un qualcosa che possa dare un “ritorno”, come un Bot o un Cct? Non sarebbe possibile utilizzare meglio le energie che, anche obtorto collo, vi dedichiamo?
Quello che si vuole ottenere si chiama Rosi – Return On Security Investment. Un Gruppo di Lavoro (GdL), fondato da Aiea, Clusit e Oracle, e che ha visto la partecipazione di Deloitte, Ernst & Young, Kpmg e PriceWaterhouseCoopers, ha riflettuto sul tema dall’autunno 2009 ad oggi, scoprendo (o ri-scoprendo) che in effetti non è impossibile parlare di Rosi.
È comunque una questione difficile da affrontare. Per poter fare un calcolo preciso dei ritorni economici delle spese in sicurezza è necessario raccogliere molti dati che è generalmente complicato trovare, e tenere conto, sia sul fronte dei costi, sia su quello dei ricavi, di valori anche intangibili (reputazione, qualità, marchi, fedeltà dei clienti, ecc.). Finché poi non avviene un incidente, e le costose contromisure non vengono attivate, si ha una spesa già fatta a fronte di un beneficio pari a zero. Ad esempio, se nel calcolare le conseguenze di un incidente è relativamente facile valutare i costi legati alla perdita di produzione o al rimpiazzo dei mezzi danneggiati, è invece difficilissimo dare un valore alla ricostruzione delle informazioni danneggiate o perse, alla perdita di reputazione e di mercato, alla fuga di notizie, eccetera. Occorre valutare, inoltre, i costi derivanti dalle assicurazioni (indispensabile completamento di qualsiasi strategia di risk management) e dalle eventuali sanzioni civili o penali.
Senza una traccia per procedere, insomma, il rischio di non ottenere alcun risultato è notevole: per questo motivo il GdL ha pubblicato già nel 2010 un documento sul Rosi che formalizza un metodo di lavoro che guida alla costruzione del risultato – e in aggiunta aiuta a raccogliere l’evidenza per documentare in modo dettagliato e giustificare la proposta di spesa.
Senza pretendere di ottenere uno strumento matematicamente preciso, il documento contiene numerose indicazioni sulla metodologia da utilizzare e sui fattori da prendere in considerazione per calcolare il Rosi. Partendo da standard pubblici e ben noti, descrive un possibile percorso che porta in ogni caso a delle indicazioni utili.
A volte si tratterà di indicazioni qualitative, ma in ogni caso saranno dei validi supporti decisionali: non si arriverà a calcolare il contributo netto al bilancio, ma si potrà essere certi dell’effetto complessivo su di esso della spesa in sicurezza.
Figura 2 – Posizionamento del Rosi rispetto agli standard di riferimento
(cliccare sull’immagine per visualizzarla correttamente)
La nuova edizione del documento, la 2.0, è stata rilasciata nel corso del recente Security Summit 2011 di Milano, e sarà presentata anche a quello che si svolgerà a Roma l’8 e il 9 giugno. In questa nuova versione si è accolto il contributo di alcune aziende (Ace European Group, Sinfo One, ServiTecno, Deutsche Bank, Gruppo Terasystem) per arricchire la sezione dei cosiddetti pattern, ovvero quegli schemi pensati per le situazioni dove si teme che il beneficio dato dall’avere un’informazione precisa sia inferiore al costo necessario per ottenerla, e non è possibile quindi applicare il metodo analitico.
I pattern ricostruiscono delle situazioni molto comuni, e sviluppano delle soluzioni ai problemi presentati. Sono insomma delle ricette già pronte. Se l’organizzazione in cui ci troviamo si riconosce nel caso descritto non occorre rifare tutto il lavoro, ma basta applicare le dovute differenze per ottenere un risultato applicabile alla situazione specifica; ovviamente verificando costantemente nella realtà che le ipotesi fatte siano corrette. Il documento è disponibile sul sito rosi.clusit.it, insieme ad alcuni strumenti operativi (fogli di calcolo già predisposti e tabelle da utilizzare come falsariga), con licenza Creative Commons Attribution-ShareAlike 2.5. Tutti i contenuti sono quindi liberamente utilizzabili da chiunque, anche a fini commerciali, purché chi li usa ne dichiari l’origine e pubblichi a sua volta con la stessa licenza eventuali opere derivate.
* = Mauro Cicognini è membro del direttivo e del comitato tecnico scientifico del Clusit
