ROI della cybersecurity come leva strategica per convincere il top management ad approvare maggiori budget per la sicurezza informatica. La verità è che quando si parla di cybersecurity ancora troppe aziende non sono disposte a spendere, pur concordando tutte sul fatto che la sicurezza è importante.
Specialmente in momenti di recessione economica, chi si occupa di sicurezza trova molto difficile farsi approvare i budget necessari a presidiare i dati, i sistemi, gli utenti ed il business. Per agevolare il dialogo con gli stakeholder e l’ufficio acquisti, l’approccio ideale è quello di inquadrare gli investimenti esplicitando qual è il ROI della cybersecurity.
ROI della cybersecurity: che cos’è e come inserirlo in un contesto aziendale
Definire le decisioni di acquisto della sicurezza informatica consente alle organizzazioni di allineare gli investimenti tecnologici con gli obiettivi aziendali. Quanto più i professionisti della sicurezza possono inserire gli investimenti nella sicurezza in un contesto aziendale, tanto più è probabile che ottengano il supporto esecutivo.
Quando le persone parlano di ROI, di solito lo collegano al tempo necessario per recuperare i soldi inizialmente investiti in un progetto. La sfida sta nel dimostrare il valore che l’investimento ha generato per l’azienda, sia che si tratti di tempo risparmiato, denaro risparmiato o denaro creato. Quando si considerano progetti che prevedono investimenti finanziari considerevoli, le aziende si pongono tutte la domanda fondamentale: ne vale la pena?
Il ROI è la risposta chiave perché, attraverso una formula matematica, permette di contabilizzare il peso dell’investimento con un calcolo ampiamente utilizzato in tutti i settori e le organizzazioni ma, per la sicurezza informatica, non è il miglior benchmark.
ROI della cybersecurity: qual è l’approccio più funzionale
Quando CISO e consulenti parlano delle soluzioni e delle misure correttive che l’azienda dovrebbe adottare per potenziare la propria postura della sicurezza informatica ci sono tre filoni ricorsivi.
#1 Evitare i costi
CISO e responsabili della sicurezza tendono a motivare l’investimento in un tool o in un servizio a supporto della cybersecurity spiegando al CDA che serve a evitare i costi. Come fanno notare gli esperti, evitare di intaccare i budget non è il miglior indicatore per calcolare il ROI della cybersecurity. È molto più efficace tematizzare argomentazioni più precise tipo: installando lo strumento X, non abbiamo subito un attacco ransomware, il che ci ha risparmiato di dover pagare 10 MLN di euro di riscatto come invece è successo a un nostro concorrente. Anche se si potesse dimostrare nel concreto la cosa, gli unici dirigenti che probabilmente crederebbero a questa argomentazione è chi ha già subito attacchi di questo tipo e relative perdite (che difficilmente sono quelli che hanno potere decisionale sui budget da allocare alla sicurezza informatica).
#2 Danni reputazionali
I danni e i costi reputazionali sono altrettanto nebulosi da dimostrare. La stima del danno derivante da un incidente di sicurezza che diventa pubblico e sale alle cronache potrebbe essere un esercizio utile. È facile esaminare le fonti di notizie per determinare quanto un attacco alla sicurezza potrebbe essere costato a un’altra azienda, sia in termini di clienti che di entrate. Ma non è necessariamente una tattica credibile quando si tratta di calcolare il ROI della cybersecurity in un’istanza diversa o presso un’altra organizzazione.
Ad esempio, l’attacco di SolarWinds nel 2020 (un’operazione di spionaggio su larga scala) ha portato a una perdita di capitalizzazione di mercato di oltre 1 MLD di dollari nel giro di pochi giorni. Il problema è che non c’è modo di calcolare direttamente il valore della prevenzione di una diversa vulnerabilità della sicurezza. Trovare casi con termini economici evidenti potrebbe essere utile, ma quando si tratta di ROI della cybersecurity è meglio fare affidamento su metriche concrete che possono essere direttamente legate alle spese che l’azienda stessa può controllare.
#3 Sanzioni
Anche le multe a seguito di perdite di dati e fermi di servizio sono difficili da stimare. I CISO avrebbero difficoltà a confrontare in modo significativo le loro attività con altre società che hanno pagato sanzioni per i loro errori, poiché ogni situazione ed esposizione è diversa.
Come calcolare il ROI della sicurezza informatica
I responsabili della sicurezza sanno che strumenti efficaci aiutano a ridurre gli attacchi, individuare più rapidamente i problemi alla radice e prevenire la compromissione dei dati.
File log
È un processo semplice esaminare i file log per vedere se il numero di eventi di sicurezza è diminuito grazie all’implementazione di un determinato strumento o servizio.
Trouble ticketing
Anche il software di trouble ticketing offre informazioni preziose. Fotografa il tempo necessario per affrontare i problemi e tiene traccia dell’efficacia e della produttività del personale di sicurezza che si occupa di risolverli. Se un investimento aiuta il personale a risolvere le criticità più rapidamente, è possibile tradurre il tempo risparmiato in denaro risparmiato. Si prenda il caso di un analista della sicurezza, che guadagna 100.000 dollari all’anno. Se un determinato tool o servizio consente di risparmiare un’ora del tempo di quel dipendente, l’azienda va a risparmiare 48 dollari. Allo stesso modo, se un analista della sicurezza gestiva 100 ticket al mese e ora può gestire 200 ticket al mese, c’è un aumento dell’efficienza del 100% ovvero l’equivalente di un team completo di persone.
Integrazione dei sistemi
La produttività è misurabile anche attraverso l’integrazione dei sistemi, unendo le informazioni di rete con le informazioni relative alla sicurezza. Un’analisi più veloce della causa primaria di rallentamenti o anomalie può essere calcolata in base alla variazione percentuale degli eventi rilevati nel tempo. Il che significa che la numerica può essere presa in considerazione in relazione alla riduzione del numero di dipendenti. Se un’organizzazione con uno staff IT di sicurezza di 6 persone implementasse un software di sicurezza che aumentasse l’efficienza del 25%, l’azienda potrebbe ridurre quel personale di 1,5 e ottenere comunque la stessa produttività. Supponendo un costo del lavoro a pieno carico di 125.000 dollari per dipendente, l’azienda potrebbe risparmiare circa 180.000 dollari eliminando quelle posizioni. Se il software di sicurezza costasse 90.000 dollari, il ROI in questo caso sarebbe di sei mesi.
Business continuity
I dirigenti sono perfettamente consapevoli di quanto sia importante evitare qualsiasi interruzione dell’attività e quindi calcolare l’aumento del tempo disponibile in relazione al denaro generato dall’azienda. Un’impresa da 100 milioni di dollari, ad esempio, guadagna circa 275.000 dollari al giorno o 11.000 dollari l’ora. L’utilizzo di misurazioni dirette come questa, a fronte di migliori tempi di inattività dovuti a interruzioni, consentirà ai gestori di calcolare direttamente il valore di ogni ora risparmiata da un’interruzione.
Mentre i risparmi sui costi reputazionali sono vaghi e variabili, il denaro generato dall’attività è concreto e immediatamente comprensibile. Questi tipi di valutazioni rendono le metriche del ROI della cybersecurity più convincenti rispetto al semplice conteggio dei costi orari o annuali del personale di sicurezza.
Come comunicare il ROI della cybersecurity alla leadership esecutiva
I dirigenti esecutivi si preoccupano della sicurezza, anche se solo marginalmente. In realtà è una questione di bias cognitivi: nel loro percepito, infatti, il focus sono i rischi aziendali che le minacce informatiche comportano e come gli strumenti di sicurezza potrebbero mitigare i livelli di rischio.
Ecco perché quando i responsabili della sicurezza tematizzano il valore della sicurezza informatica con i dirigenti aziendali dovrebbero lasciar perdere i dettagli tecnologici. Il che significa evitare di parlare dei meccanismi della crittografia o fare un simposio su come la sovrapposizione quantistica elimina le funzioni di hashing. È opportuno parlare in maniera chiara e semplice di come investimenti specifici in persone, processi e tecnologia mitighino uno o più fattori critici di rischio aziendale.
ROI della cybersecurity: attenzione alle false promesse
Questo è un punto da sottolineare: è fondamentale evitare di affermare che il rischio sarà eliminato. Anche se questo potrebbe essere ciò che il CEO vuole sentirsi dire. L’eliminazione del rischio è un’aspettativa impossibile da gestire. Piuttosto, meglio parlare dei vantaggi di investire nella formazione del personale e integrare i processi tra le operation e la sicurezza, migliorando sia la comunicazione che l’efficienza. È opportuno evidenziare i vantaggi di investire denaro nell’infrastruttura sottostante in quanto investimenti basati sul rischio che hanno un effetto diretto sui profitti. Più i responsabili della sicurezza possono concentrarsi sulle prerogative aziendali e sulla gestione del rischio, più otterranno la comprensione e il supporto dei leader aziendali che dipendono da loro.
