ROI della sicurezza come costruire il business case della cybersecurity

ROI della sicurezza: come costruire il business case della cybersecurity

Il ROI della sicurezza è la domanda più scomoda che un responsabile della cybersecurity si sente rivolgere, di solito da chi tiene i cordoni della borsa: quanto rende, esattamente, ciò che spendiamo per proteggerci? È una domanda legittima e insieme insidiosa, perché la sicurezza non genera ricavi, evita perdite, e il suo rendimento prende la forma di qualcosa che non accade. Un attacco sventato non compare in nessun bilancio, e dimostrare il valore di un disastro mancato è il problema di fondo con cui ogni CISO deve fare i conti quando si presenta davanti alla direzione finanziaria o al consiglio.

Eppure rispondere a quella domanda non è impossibile, ed è anzi sempre più necessario. Tra obblighi normativi che spostano la responsabilità sui vertici e budget contesi con ogni altra funzione aziendale, la sicurezza deve sapersi giustificare nel linguaggio che il vertice comprende, quello dell’investimento e del rendimento. Costruire un business case della cybersecurity significa proprio questo: trasformare la protezione da costo opaco a decisione economica argomentata.

Perché il ROI della sicurezza è diverso dagli altri

La prima cosa da capire è perché il ROI della sicurezza non si comporta come quello di un investimento ordinario. Un nuovo impianto produttivo genera un ritorno misurabile in pezzi venduti; un controllo di sicurezza, invece, produce un ritorno che è una perdita evitata, una grandezza per definizione ipotetica. Non si può osservare direttamente quanti incidenti non sono accaduti grazie a una certa spesa, e questo espone a due errori opposti: investire troppo poco, lasciando scoperti rischi rilevanti, oppure investire troppo, accumulando controlli il cui costo supera il danno che prevengono.

Il compito di un buon ragionamento sul ROI è quindi tenersi lontano da entrambi gli estremi, riconoscendo che esiste un livello di spesa oltre il quale ogni euro aggiuntivo rende sempre meno. La sicurezza totale non esiste, e anche se esistesse costerebbe più di ciò che protegge. La domanda giusta non è “come elimino il rischio”, ma “quanto conviene spendere per ridurlo”.

Il modello di Gordon-Loeb: quanto conviene spendere

A questa domanda ha dato una risposta rigorosa il modello di Gordon-Loeb, formulato nel 2002 da due economisti della sicurezza dell’Università del Maryland e diventato uno dei riferimenti teorici della disciplina. Il modello analizza il livello ottimale di investimento per proteggere un dato insieme di informazioni e arriva a una conclusione tanto netta quanto controintuitiva: in generale non conviene spendere in sicurezza più del 37 per cento della perdita attesa da una violazione.

Quel 37 per cento, che matematicamente corrisponde a 1 diviso il numero di Eulero, è un tetto e non un obiettivo, e nasce dal principio dei rendimenti decrescenti: superata una certa soglia, aumentare la spesa protegge sempre meno in proporzione. Il modello suggerisce anche una conseguenza pratica spesso trascurata, ovvero che non sempre conviene concentrare le risorse sulle informazioni più vulnerabili in assoluto, ma piuttosto là dove l’investimento è più produttivo, cioè dove riduce il rischio nel modo più efficiente. È un quadro teorico, non una formula di bilancio da applicare alla lettera, ma offre alla discussione una bussola che mancava.

ROSI: mettere numeri sulla decisione

Se Gordon-Loeb dà la cornice concettuale, per arrivare a un numero utilizzabile il riferimento più diffuso è il Return on Security Investment, il ROSI, di cui anche l’ENISA ha proposto una formulazione. L’idea è adattare alla sicurezza il classico calcolo del rendimento, mettendo a confronto il costo di una contromisura con la perdita che essa consente di evitare.

Il punto di partenza è l’Annual Loss Expectancy, la perdita annua attesa, che si ottiene moltiplicando il costo di un singolo incidente per la frequenza con cui ci si aspetta che accada in un anno. Una contromisura non azzera quella perdita, ma la riduce di una certa quota, il tasso di mitigazione. Il ROSI confronta allora il valore della perdita evitata con il costo della soluzione: se la perdita risparmiata supera la spesa, l’investimento ha senso; in caso contrario, no.

Un esempio con numeri puramente illustrativi rende l’idea. Supponiamo che un certo incidente costi in media duecentomila euro e che ci si attenda accada una volta ogni due anni: la perdita annua attesa è di centomila euro. Una contromisura che costa trentamila euro l’anno e neutralizza l’ottanta per cento di quel rischio evita ottantamila euro di perdita attesa; il rendimento si ottiene sottraendo il costo dalla perdita evitata e dividendo per il costo, e in questo caso è ampiamente positivo. Cambiando le ipotesi, però, il risultato si ribalta: se la stessa contromisura costasse novantamila euro, o se mitigasse solo il venti per cento del rischio, l’investimento smetterebbe di giustificarsi. È la dimostrazione di quanto il verdetto dipenda dai numeri di partenza.

La formula, in altre parole, è semplice, ma il suo valore dipende interamente dalla qualità delle stime che vi si immettono, e quelle stime poggiano a loro volta sulla capacità di misurare il rischio, cioè sulla quantificazione del rischio. Numeri inventati producono un ROSI inventato.

Dal numero alla decisione: parlare al vertice

Proprio perché i numeri sono stime, il loro scopo non è simulare una precisione che non hanno, ma strutturare un ragionamento e renderlo discutibile. Il vero destinatario di un calcolo sul ROI non è l’analista, ma il vertice aziendale, ed è lì che il business case si gioca davvero. Presentare al consiglio di amministrazione una cifra unica e perentoria è quasi sempre un errore: meglio mostrare scenari, intervalli e ipotesi esplicite, collegando la spesa proposta al rischio che riduce e alla propensione al rischio che l’organizzazione ha dichiarato.

Questa esigenza è diventata più stringente da quando le normative recenti hanno spostato sui vertici la responsabilità delle scelte di sicurezza. Un consiglio che risponde in prima persona del rischio cyber non può accontentarsi di un atto di fede verso il reparto tecnico: ha bisogno di capire perché una certa spesa è proporzionata e quali rischi residui resterebbero comunque sul tavolo. Il ragionamento sul ROI, con tutti i suoi limiti, è lo strumento che rende quella conversazione possibile, perché traduce scelte tecniche in termini di valore e di rischio che chi governa l’impresa è abituato a maneggiare.

In questo senso il ROI della sicurezza non è un numero da esibire, ma un linguaggio per decidere insieme. Un buon business case non promette un rendimento certo, perché sarebbe disonesto, ma mostra in modo trasparente perché una certa spesa è ragionevole, dove i rendimenti cominciano a calare e quali rischi si è scelto consapevolmente di accettare. È così che la cybersecurity smette di essere percepita come un costo da contenere e viene riconosciuta per ciò che è: una decisione di gestione del rischio come tutte le altre, da prendere con gli stessi strumenti con cui si valutano gli altri investimenti dell’impresa.

Fonti

Condividi sui Social Network:

Ultimi Articoli