Misurare i livelli di protezione e sicurezza di dati ed informazioni
L’identificazione e la condivisione di metodi e metriche quanto più possibili oggettivi potrebbero rappresentare gli elementi adeguati a creare fiducia tra i soggetti della filiera.
Il contesto normativo e culturale
L’information security sta guadagnando sempre più una posizione di rilievo nell’ambito delle attività di gestione delle organizzazioni. Ma l’operatività in campo dimostra come troppo spesso non sia una scelta propriamente spontanea e consapevole. Appare piuttosto come un qualcosa di inevitabile e anche rognoso da gestire, vuoi per l’incremento esponenziale delle attività illecite ed il clamore mediatico che ne consegue, vuoi per l’aumento delle norme che ne delineano in modo sempre più preciso i criteri di attuazione. Siamo ormai allenati alle implicazioni in materia di Protezione dei Dati Personali, specie sotto la costante sollecitazione dei provvedimenti stabiliti dall’Autorità Garante. Stiamo cominciando a digerire le obbligazioni previste per gli Operatori di Servizi Essenziali – ovvero le infrastrutture critiche in ambito socio-economico ed i fornitori di servizi digitali – con un focus specifico sulle attività di risposta agli incidenti e continuità dei servizi. Ed infine dovremo imparare a familiarizzare con la costellazione normativa che definisce il Perimetro di Sicurezza Nazionale Cibernetica ed i relativi requisiti di sicurezza. Ma l’approccio che accomuna il set normativo sull’information e cyber security si fonda sull’esecuzione dinamica e reiterativa di un processo di valutazione e gestione dei rischi. Concetto per nulla gradito alla cultura nazionale, certamente più istintivamente propensa alla “creatività” – a danno fatto, trovare il modo più veloce ed economico per metterci una pezza – e all’approccio normativo di tipo prescrittivo: fare il minimo indispensabile, solo se richiesto esplicitamente, per non prendere una bella sanzione. Il business-as-usual italiano ha impiegato molto tempo ad assimilare concetti quali l’efficienza e l’efficacia, ed ora stenta in modo palese ad acquisire i principi dell’information e cyber security. Anche se non è da escludere che buona parte dell’incompatibilità attualmente manifestata dipenda da un cortocircuito per così dire “linguistico”. Mentre nella stragrande maggioranza dei casi le valutazioni dei rischi sulla security parlano secondo metriche quali-quantitative comprensibili solamente dagli addetti ai lavori, gli operation e business manager sono soliti parlare in euro. E quando questi ultimi ascoltano, ciò che comprendono sono solamente spese su spese, costi; sfugge loro il senso dell’opportunità, dei ricavi che è possibile ottenere dalla sicurezza.
Misurare il valore della sicurezza con il metodo ROSI
Se ad alcuni le attività e gli asset di supporto alla sicurezza delle informazioni potrebbero apparire come un costo, una fee da pagare per garantirsi la presenza sul mercato, in realtà rappresentano strumenti idonei a generare valore misurabile. Uno dei modelli maggiormente consolidati consiste nel calcolo del Return On Security Investment, a sua volta ricavato dalla definizione o dal calcolo di alcuni parametri elencati di seguito.
1) SLE (Single Loss Expectancy): riguarda la definizione delle perdite economiche ipotizzate, o valutate sulla base di uno storico, per singolo incidente. 2) ARO (Annual Rate of Occurrence): si riferisce alla definizione del fattore di possibilità o probabilità di accadimento di incidenti della sicurezza. 3) ALE (Annual Loss Expectancy): è ricavato dal prodotto di SLE ed ARO. 4) mALE (Modified Annual Loss Expectancy): ovvero un fattore percentuale di mitigazione identificabile sulla base delle misure di sicurezza messe in campo per prevenire o ridurre le perdite prodotte da un incidente della sicurezza.
Il ROSI, espresso in formato percentuale, è quindi calcolato secondo la formula:
ROSI = ((ALE * mALE) – costi) / costi
Sarà così facile scoprire che l’applicazione di adeguate misure di sicurezza generi più frequentemente di quanto si possa immaginare ricavi piuttosto che costi.
Opportunità e limiti del modello
Il metodo ROSI può essere impiegato non solamente per calcolare il valore ed i conseguenti ricavi all’interno dell’organizzazione, ma può essere trasformato anche in un potente vettore commerciale per comunicare il plusvalore generato nell’erogazione dei servizi offerti alla committenza, in base ai livelli di sicurezza garantiti attraverso l’applicazione di specifiche misure di sicurezza. Nonostante le opportunità proposte, questo modello non resta però esente da alcune limitazioni che rischiano di inficiarne la credibilità. Occorre infatti sottolineare, con buona onestà intellettuale, che il parametro mALE, ad esempio, presta il fianco ad eventuali critiche circa il carattere oggettivo dell’analisi. La mitigation ratio è un elemento per il quale non sono state stabilite metodologie di calcolo strutturate né correlazioni condivise su ampia scala tra le misure di sicurezza messe in campo e la loro efficacia in termini preventivi e reattivi. Resta pertanto fondato su un’interpretazione soggettiva e difficilmente verificabile di individui o piccoli gruppi di lavoro. Un’ulteriore limitazione del modello consiste nell’incapacità di esprimere il valore prodotto dalle organizzazioni in termini di responsabilità sociale attraverso la sicurezza. Gli incidenti della sicurezza, infatti, hanno impatto non solamente sulle organizzazioni che erogano i servizi e sui loro committenti ma, quando questi servizi sono fruiti da un numero esteso di utenti, anche su di essi, provocando quindi danni di differente entità agli individui, in alcuni casi anche molto gravi. La vigente normativa in materia di protezione dei dati personali è chiara nell’indirizzare questa visione, rivolgendo particolare attenzione alla salvaguardia delle persone. Ma né il GDPR né il modello ROSI sono in grado di misurare o rappresentare in modo oggettivo i benefici ed il plusvalore sociale prodotto attraverso le attività della sicurezza. Infine occorre tener presenti due ulteriori limitazioni del modello proposto. Elementi che purtroppo lo rendono ancora acerbo rispetto alle effettive esigenze. Da un lato l’assenza di un metodo oggettivo e credibile di calcolo per stimare la portata economica dei danni relativi alla reputazione delle organizzazioni che subiscono un incidente della sicurezza. Dall’altro l’assenza di parametri adeguati a considerare le dinamiche di crescita dei danni nel tempo. I monitoraggi in caso di incidenti di sicurezza insegnano che il perdurare nel tempo di una situazione non conforme – la maggior parte delle volte riguarda l’indisponibilità di informazioni o dei servizi IT di supporto – produce danni sempre crescenti secondo un andamento incrementale non costante. Esiste infatti un momento nel tempo superato il quale le perdite economiche impennano in modo esponenziale.
Conclusioni
In conclusione è possibile affermare che, nonostante il modello ROSI presenti tutta una serie di opportunità scarsamente esplorate, sia orfano di fondamenta metodologiche in grado di renderlo applicabile in modo efficace. Sono tanti gli standard di sicurezza ampiamente riconosciuti dalla comunità internazionale e le best practices proposte. Risultano però scarsamente delineati framework di valutazione del rischio in grado di fornire elementi strutturati di input al calcolo del ritorno sugli investimenti per la sicurezza. Ne consegue che risulta assente un “connettore linguistico” in grado di trasmettere fiducia tra i soggetti coinvolti in una catena di fornitura che oramai si estende a dismisura – specie in ambito di sviluppo applicativo – e sulla quale è doveroso l’impegno per mantenere un adeguato presidio. C’è ancora molto lavoro da fare, tanto in termini di progettazione e condivisione di framework sostanziali – pratici, usabili – come anche in termini di verifica e certificabilità dei metodi applicati e delle misurazioni realizzate. Tutto ciò nel tentativo di configurare uno scenario utile allo sviluppo del business. Che non sia l’ennesimo set di “regole” sulle quali si spende più tempo a capire come aggirarle piuttosto che a comprendere come applicarle.
Articolo a cura di Alberto Buzzoli
Promuove sinergia, creatività ed innovazione progettando metodologie e strumenti per connettere strategie di business, modelli d’organizzazione, sistemi di gestione e tecnologie dell’informazione. Si occupa di governance aziendale, risk management, compliance e incident handling – formazione specialistica e comunicazione incluse – in ambito di sicurezza integrata, con particolare approfondimento in materia di sicurezza delle informazioni e protezione dei dati personali.
E’ specializzato nella progettazione e nell’auditing di servizi CRM per il mercato bancario, assicurativo e finanziario.
Nel 2012 ha fondato la community di professionisti INTOUT – In Mind Innovation, con l’obiettivo di integrare know how eterogenei in un unico centro di competenza, favorendo lo sviluppo e la divulgazione di soluzioni sempre nuove ed utili, volte ad incrementare la cultura delle organizzazioni e la maturità dei modelli impiegati nei processi di analisi e gestione dei rischi.
