Spesso per le aziende (soprattutto quelle di piccole e medie dimensioni) è molto complesso determinare quante risorse investire nei vari progetti aziendali. La difficoltà aumenta in particolar modo se i progetti in questione, invece di generare un ritorno economico immediato, hanno come obiettivo principale quello di prevenire eventuali perdite future.

Gli investimenti in cybersecurity hanno proprio questa caratteristica. Ogni euro investito per rendere più sicuri le reti e i dispositivi aziendali non si traduce infatti in un guadagno immediato per le società. E senza un ROI misurabile, per il management risulta difficile prendere qualsiasi decisione di investimento. Diventa quindi fondamentale capire come calcolare il ROI degli investimenti in cybersecurity.

IL METODO BCG PLATINION

Secondo Michael Coden, direttore del dipartimento Cybersecurity di BCG Platinion, per calcolare il ROI su un investimento in cybersecurity occorre prendere in considerazione la seguente formula:

Cybersecurity ROI = [(Perdite attese prima del progetto) – (perdite attese dopo il progetto) – (costo del progetto)] / costo del progetto

Le perdite attese si calcolano moltiplicando l’impatto di un eventuale evento per la probabilità che questo evento accada.

Proviamo a fare un banalissimo esempio.

Un’azienda produttiva possiede alcuni server e dispositivi con sistemi operativi obsoleti che da alcuni mesi non ricevono più aggiornamenti di sicurezza. I dispositivi e i server non controllano solo la produzione, ma contengono anche i dati di clienti, fornitori, prospect e dipendenti.

Acquistare nuovi dispositivi e server, applicare le migliori pratiche in materia di sicurezza informatica, configurare un firewall ecc costerebbe alla società 20.000 euro. I manager non sono convinti: secondo loro, l’intervento costerebbe troppo. D’altronde poi, non è mai successo nulla in azienda! Il consulente IT avverte però l’azienda: “Probabilmente non accadrà nulla, ma secondo i miei calcoli, se non interveniamo, nel corso dell’anno vi è un 10% di probabilità che un attacco hacker crei danni seri”.

Il mese dopo, un attacco hacker mette fuori uso server e dispositivi, blocca la produzione per dieci giorni e provoca la diffusione sulla rete tutti i dati dell’azienda (tra cui anche quelli personali). Il blocco della produzione costa all’azienda 200.000 euro e il Garante per la Protezione dei Dati Personali, dopo aver verificato come la società non avesse mai applicato le adeguate misure di sicurezza, impone una sanzione da 20.000 euro.

Ma non è finita qui. Il danno reputazionale che segue al data breach e al blocco della produzione, fa perdere all’azienda due importanti clienti e saltano i negoziati con tre prospect strategici che percepiscono l’azienda come inaffidabile. Il danno totale è ora salito a 400.000 euro.

Se l’azienda avesse investito le risorse nel progetto di cybersecurity, l’attacco hacker avrebbe causato solamente qualche disagio, che sarebbe stato mitigato con l’intervento del reparto IT e di un consulente esterno. Costo totale: 2.000 euro.

Proviamo a inserire le cifre nella nostra formula:

[(0,10 x 400.000) – (0,10 x 2.000) – (20.000)] / (20.000) = 0,99

In questo esempio, il ROI del progetto sarebbe quindi del 99%.

Fin qui tutto chiaro. È evidente che la sfida sia nel calcolare nella maniera più precisa possibile la probabilità di un evento e il suo impatto potenziale su un’azienda.

In ogni caso, come mostrato nell’esempio precedente, qualora la probabilità dell’attacco fosse stata del 100%, ogni euro investito nel progetto avrebbe risparmiato all’azienda 18,90 euro di perdite e tantissimi grattacapi.

 

IL METODO DEL SANS INSTITUTE

Un altro metodo molto interessante è quello sviluppato dal SANS Institute.

La formula per calcolare il ROSI (Return on Security Investment) è la seguente:

L’ALE è equivalente alle “Perdite attese prima del progetto” del modello precedente.

Il Mitigation Ratio è invece una percentuale che indica quanto si ridurrebbe la probabilità di un evento avverso nel caso in cui il progetto di cybersecurity venisse finanziato. Insomma, se nel modello precedente vi era la scelta binaria tra 400.000 euro di danni in caso di non adozione della soluzione e 2.000 euro in caso di adozione, questo modello prevede invece una percentuale di riduzione del danno. Se continuiamo a usare i dati dell’esempio precedente, in questo caso avremmo un Mitigation Ratio del 99,5%.

 

CONCLUSIONI

Per concludere, la conoscenza dei metodi descritti nell’articolo per calcolare il ritorno degli investimenti in cybersecurity potrà servirvi principalmente a due cose:

  1. Valutare in maniera più chiara i preventivi per i progetti di cybersecurity. Se una cifra vi sembra particolarmente alta, forse non avete preso in considerazione le eventuali perdite che un evento avverso potrebbe causare alla vostra impresa.
  2. Valutare in maniera più chiara i preventivi per i progetti di cybersecurity. Sì, l’abbiamo scritto due volte. Se il costo di un intervento di cybersec vi sembra particolarmente elevato, potrete utilizzare i metodi visti sopra per valutare se sia il caso di cercare eventuali soluzioni alternative meno costose.

Dopo aver letto l’articolo vi sentite più propensi a prendere in considerazione il fatto che le vulnerabilità nella vostra rete aziendale potrebbero causare ingenti danni economici e reputazionali alla vostra impresa? Non è troppo tardi. Scrivete a info@argobs.com per chiedere una valutazione preliminare gratuita del vostro caso.