I processi decisionali delle aziende che conducono alla definizione dei budget per le varie aree dell’organizzazione o alla scelta degli investimenti da compiere nel breve, medio e lungo periodo, anche in ambito cyber security, risultano spesso lunghi, complessi e tortuosi: per questo motivo, le organizzazioni medie e grandi misurano i cosiddetti KPI (Key Performance Indicators) dei progetti, insieme ad altri indicatori, tra i quali è compreso il ROI (Return on Investment).
Il management ha infatti la necessità di “appoggiarsi” ai numeri, in modo da selezionare i progetti che generino, non solo un ritorno economico consistente, ma soprattutto misurabile.
Indice degli argomenti
Cos’è il ROI degli investimenti in cyber security
Il ROI (Return On Investment) è il tasso di rendimento (return) sugli investimenti (investment) di un’impresa. Insomma, se un’azienda decide di investire 1 milione di euro su un progetto che permetterà di recuperare la somma investita e generare 100 mila euro di utili, il ROI del progetto sarà del 10% (rapporto fra il risultato operativo e il totale del capitale investito operativo netto).
Generalmente, quando una società decide di programmare un investimento in macchinari o in campagne pubblicitarie, per aumentare la produzione o le vendite, può provare a stimare il ROI prima dell’investimento o, alternativamente, può calcolarlo in una fase successiva, analizzando i dati a consuntivo.
Esistono, però, categorie di investimenti diverse dalle altre, per le quali risulta ancora più difficile stimare e calcolare il ROI. Stiamo parlando degli investimenti che non hanno tra gli obiettivi la generazione diretta di utili, ma la riduzione dei rischi e la prevenzione di eventuali perdite causate da eventi disastrosi. Il motivo è semplice: non possiamo calcolare con precisione le perdite attese di tali eventi qualora decidessimo di non investire per prevenirli e, soprattutto, non possiamo sapere con certezza se l’evento disastroso che desideriamo prevenire si verificherà o meno.
Tra queste tipologie di investimento rientrano, ad esempio, le spese per la sicurezza sul lavoro e per la cyber security.
In particolare, gli investimenti in cyber security mirano, tra le varie cose, a ridurre i rischi di:
- blocco della produzione o dei servizi a seguito di un attacco cyber;
- cifratura dei dati aziendali a seguito di un attacco ransomware;
- sanzioni e risarcimenti a seguito di data breach (violazioni dei dati);
- peggioramento della reputazione aziendale a seguito di un attacco.
Nei casi più gravi, a seguito di una violazione dei propri sistemi informatici, un’azienda può trovarsi a dover gestire tutti i peggiori scenari possibili.
Dal momento che il rischio di eventi disastrosi che possano causare uno o più scenari sopra descritti non può essere azzerato ma solo minimizzato e che le azioni per mitigare i rischi hanno ovviamente dei costi (spesso considerevoli), può essere utile per le imprese provare a calcolare il ROI degli investimenti in cyber security.
Come calcolare il ROI degli investimenti in cyber security
Tuttavia, il ROI degli investimenti in cyber security non si calcola con le stesse modalità con cui si determina il ROI per i comuni investimenti. Di conseguenza, alcune imprese ed istituti di ricerca hanno provato a individuare dei metodi che potrebbero risultare utili alle organizzazioni nel calcolo della formula. Vediamoli di seguito.
Il metodo BCG Platinion
Il primo metodo per il calcolo del ROI è stato sviluppato da una società americana, la Boston Consulting Group (BCG). In particolare, dal ramo di BCG Platinion che si occupa specificatamente di IT e cyber security. Secondo Michael Coden, direttore del dipartimento cyber security di BCG Platinion, per calcolare il ROI su un investimento in cyber security occorre prendere in considerazione la seguente formula:
Cybersecurity ROI = [(Perdite attese prima del progetto) – (perdite attese dopo il progetto) – (costo del progetto)] / costo del progetto
Le perdite attese si calcolano moltiplicando l’impatto di un eventuale evento per la probabilità che questo evento accada.
Con il metodo BCG Platinion, il ROI è positivo nel caso in cui il costo del progetto di cyber security sia minore della differenza delle perdite attese prima e dopo il progetto stesso. Ergo, se una società decide di investire 10.000 euro per rendere la propria rete più sicura, il ROI sarà positivo solo nel caso in cui le perdite attese dopo gli investimenti si riducono in misura maggiore di 10.000 euro.
Il ROI sarà molto elevato nel caso in cui si intervenga a sanare una situazione estremamente rischiosa, caratterizzata da perdite molto alte attese prima del progetto.
Il metodo del SANS Institute
Un altro metodo molto utilizzato è quello sviluppato dal SANS Institute. La formula per calcolare il ROSI (Return on Security Investment) è la seguente:
ROSI (%) = (ALE * Mitigation Ratio – Cost of solution) / Cost of Solution
L’ALE è equivalente alle “Perdite attese prima del progetto” del modello BCG. Il Mitigation Ratio è invece una percentuale che indica quanto si ridurrebbe la probabilità di un evento avverso nel caso in cui il progetto di cyber security venisse finanziato.
Insomma, se nel modello precedente vi era la scelta binaria tra “X” euro di danni in caso di non adozione della soluzione e “Y” euro in caso di adozione, questo modello prevede invece una percentuale di riduzione del danno.
In questo modello, per avere un ROI positivo è necessario non solo che l’ALE sia più elevato del costo del progetto di cybersecurity, ma anche che il Mitigation Ratio raggiunga una percentuale tale che le perdite attese post progetto siano inferiori al costo del progetto stesso.
Conclusioni
A prescindere dalla formula utilizzata, risulta fondamentale, per i decisori all’interno delle imprese, avere a disposizione degli strumenti efficaci per poter valutare nel dettaglio l’entità degli effetti positivi di un investimento in cyber security.
Il Global Risk Report del World Economic Forum, WEF, pubblicato a gennaio 2020, evidenzia come i rischi digitali siano ai primi posti tra i rischi “globali” a livello mondiale.
Secondo i dati del Rapporto Clusit 2020 a cura dell’Associazione Italiana per la Sicurezza Informatica, pubblicato il 17 marzo, il numero di società che dichiara di aver subito attacchi informatici di ogni genere è in aumento costante negli ultimi anni. Il 2019 è considerato l’anno peggiore di sempre in termini di evoluzione degli attacchi cyber e quantitativamente, nell’ultimo triennio (2017-2019) gli attacchi sono aumentati del +48% rispetto al triennio precedente (2014-2016).
Parlando di impatto sulle società il report è particolarmente interessante perché lo studio è basato su 10.087 casi (1.670 soltanto nel 2019), tutti di particolare gravità e che hanno avuto un impatto significativo per le vittime in termini di perdite economiche, danni reputazionali e diffusione di dati sensibili (personali e non).
Insomma, dati alla mano, è ora che le organizzazioni di ogni dimensione e settore inizino a prendere in profonda considerazione metodologie come quella del calcolo del ROI per gli investimenti volti alla riduzione dei rischi.
In queste settimane abbiamo imparato come dei rischi, spesso sottovalutati, possano stravolgere le vita e le economie delle aziende e degli Stati. Non c’è alternativa: bisogna essere preparati.
