Security Notes

Il ROI della Cyber Security: quanto investire in sicurezza?

castle-1124587_1920

I crimini di natura informatica sono più frequenti di quanto si possa immaginare. Questo tipo di criminalità è difficile da contrastare e la maggior parte delle aziende, soprattutto PMI, non sono abbastanza informate e formate su come difendersi in modo adeguato. Ogni azienda dovrebbe prendere seriamente in considerazione i rischi derivanti dal cyber crime che con il passare del tempo costituisce e costituirà una minaccia sempre più seria per il business aziendale e per l’economia dell’intero sistema Paese.

Il gap tra l’aumento delle capacità di attacco dei criminali e quelle di difesa delle aziende è in costante aumento, e questo problema diventa maggiore se parliamo di PMI, nelle quali per ovvi motivi il budget dedicato agli strumenti di difesa è inferiore rispetto a quello di una grande impresa e rispetto a quello che servirebbe per attuare delle policy di sicurezza quantomeno accettabili.

Le PMI spesso si trovano impreparate ad affrontare questa sfida e soprattutto non sanno quanto e come investire in in maniera utile per il proprio business. Non hanno le competenze per giudicare cosa sia giusto fare e tendono a minimizzare i rischi che in realtà corrono. Per questo è necessario che si affidino ad esperti del settore per capire cosa è meglio fare per la sicurezza della propria azienda.

Ma quanto è opportuno investire in cyber security?

La percezione di questo tipo di rischio è così viziata dall’esperienza delle minacce del mondo “fisico” che la maggior parte delle PMI non ha la minima idea di quale budget destinare alla cyber security. Può quindi venire in aiuto ragionare in termini di . Vediamo cosa significa.

Il ROI (Return on Investment), tradotto in italiano come Indice di Redditività del Capitale Investito o Ritorno sugli Investimenti, è un indicatore di bilancio che serve per capire quanto il capitale investito, in questo caso in cyber security, ritorna in termini di reddito.

Essenzialmente il calcolo del ROI è un’analisi costo-beneficio che confronta i costi e i ritorni in termini di finanziamento. Il ROI, usato nel contesto della sicurezza è un termine impreciso. La sicurezza non è un investimento che produce un ritorno economico. Si tratta di una spesa che ci si aspetta si ripaghi con un risparmio sui costi. Il ROI fornisce una misura non in termini di profitto, ma di perdite evitate; ma nel bilancio di esercizio ridurre i costi è uguale ad aumentare i ricavi. Ad esempio, un’azienda che investe nella propria sicurezza informatica e nella formazione dei dipendenti potrebbe non cadere in truffe informatiche, e così evitare, come invece nella realtà accade a molte aziende, di vedersi frodati anche di centinaia di migliaia di euro, essere costretti a chiudere reparti di ricerca o produzione, licenziare personale o addirittura rischiare di fallire.

Secondo dati Kaspersky Lab, infatti, la quantità di danno finanziario a carico delle PMI a seguito di attacchi informatici è in costante aumento. Tale studio stima che nel 2015 il danno medio derivante da incidenti informatici si sia aggirato intorno ai 35mila euro per azienda, comprendendo costi di recovery, perdita di business, tempi di inattività e danno d’immagine.

Nel solo Regno Unito dati istituzionali registrano un costo medio in seguito alla violazione dei dati per le PMI compreso tra 75mila e 310mila sterline. Da un report pubblicato da PwC/BIS emerge che il 60% delle PMI prese in esame aveva subito una violazione informatica.

L’analisi ROI, riguardo gli investimenti in sicurezza informatica, è in grado di fornire una visione utile a capire se il denaro è speso bene o meno in quanto disciplina il processo decisionale al fine di garantire che le spese e le strategie siano in linea con l’entità dei rischi affrontati. Offre quindi una guida per evitare di affrontare i rischi in maniera casuale e poco efficiente sia in termini di spesa che di risultati. Senza una tale guida le aziende potrebbero trovarsi ad aver sottostimato gli investimenti necessari (e quindi ad essere esposti a troppi rischi) o aver investito troppo denaro (sprecando quindi risorse preziose che potevano essere investite in altri ambiti).

Una società ha bisogno quindi di un approccio intelligente alla sicurezza, come per qualsiasi altra decisione di business, comparando costi e benefici.

Ci sono diversi approcci per affrontare la sicurezza informatica in termini di costo-beneficio, come per esempio l’Integrated Business Risk-Management Framework secondo il quale i rischi tecnologici vanno gestiti in maniera simile ai rischi finanziari (vengono studiati piani d’azione a protezione delle informazioni); le metodologie Valuation-Driven nelle quali vengono standardizzate le procedure oltre che garantita la sicurezza e valutati attentamente rischi e risorse; l’approccio basato sull’analisi degli scenari, nel quale vengono costruiti scenari possibili in base a rischi e azioni (questo approccio illustra in modo chiaro le eventuali vulnerabilità); ed infine le Best practices, con le quali vengono previste delle precise regole da rispettare al fine di evitare determinati rischi, l’analisi accurata è il primo e decisivo punto base di questo approccio.

Una PMI dovrebbe interrogarsi su quanto sa realmente sul cyber crime, su cosa sta facendo per proteggere il proprio business e i propri dati e come fare per migliorare il suo livello di sicurezza e scegliere di conseguenza l’approccio più consono alla propria attività.

Considerando questi dati, ogni azienda dovrebbe arrivare alla consapevolezza di considerare la sicurezza come voce fissa tra gli investimenti necessari per lo sviluppo del proprio business al fine di mantenere un livello adeguato di sicurezza che si adatti alle minacce informatiche nel tempo. L’investimento in sicurezza va visto non solo nell’ottica di proteggere il business aziendale, ma soprattutto come valore aggiunto in termini di competitività sul mercato.

Il terreno di sfida in futuro non sarà solo quello economico per le aziende, ma una maggiore offerta in termini di affidabilità in ambito informatico, puntando sulla cyber security come valore aggiunto, potrà costituire anche un’opportunità di investimento in termini di business.

 

Flavia Zappa Leccisotti

Flavia Zappa Leccisotti

Ricercatrice indipendente nel campo del cyber crime e cyber warfare. Laureata in Scienze della Politica presso l’Università degli Studi di Macerata. Nei suoi studi si è occupata principalmente di Sociologia della devianza, Politiche di sicurezza, Antiterrorismo e Analisi delle politiche pubbliche. Durante gli anni di studio ha maturato diversa esperienza in ambito criminologico ed ha partecipato alla realizzazione di numerosi progetti di ricerca. Ha conseguito il Master di II livello presso l’Università Campus Bio-Medico di Roma in Homeland Security. Ha recentemente realizzato per conto di UNICRI due studi sull’impatto del cyber crime sulle PMI.

Twitter LinkedIn 

Clicca per commentare

Commenti e reazioni su:

Loading Facebook Comments ...

Lascia una replica

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

No Trackbacks.

TechEconomy è il portale di informazione dedicato a manager, imprenditori e professionisti che vogliono approfondire e comprendere l’impatto delle tecnologie nello sviluppo del business nelle PMI come nell’industria, nella finanza, nei servizi.
Si rivolge insomma a tutti coloro che vogliono capire come le nuove realtà dell'Information Technology - Web 2.0, e-Business, net economy - stiano cambiando l’economia, e con essa la società.
Inizio
Shares
Share This