I costi della sicurezza
30/Sep/10 22:40 Filed in: Web e Sicurezza
Qualche settimana fa, parlando del software, ci è capitato di ricordare che spesso, anche in contesti aziendali, opera una sorta di blocco psicologico rispetto all’acquisto, ad esempio, di software originale, preferendosi, in moltissimi casi, versioni pirata, sistemi operativi non originali e non aggiornabili e così via.
In termini più generali, fatti di questo genere hanno a che fare con la questione dei costi della sicurezza.
Gli investimenti per la sicurezza sono visti, normalmente, come puri costi, da sostenere o perché alcune misure sono imposte dalla normativa legale (ad esempio la tutela della privacy) o perché si è spaventati da non meglio precisate azioni poste in essere dai cosiddetti “hacker”.
Come si vede, domina un atteggiamento irrazionale: o si evitano costi di cui non si apprezzano i ritorni e si affrontano investimenti sulla base della paura e senza averne sufficientemente valutato le motivazioni.
Il superamento dell’irrazionalità può avvenire cominciando a fare un’operazione che può apparire banale a prima vista ma che è fondamentale. Si tratta dell’analisi del rischio: ogni azienda dovrebbe identificare i rischi che corre, valutarli (comprendere, cioè, qual è l’impatto negativo sul patrimonio e la probabilità che la minaccia si verifichi) e comprendere quali sono e quanto costano le contromisure che riducono i rischi significativi a livelli accettabili.
L’analisi deve essere compiuta in maniera professionale; è un primo costo da sostenere con attenzione, scegliendo professionisti specializzati nell’information security e senza conflitti di interesse (non devono essere i venditori di hardware e software, per intenderci).
Una volta effettuata l’analisi si potrà disporre di una guida per comprendere la natura e il valore dell’investimento in sicurezza: l’azienda acquisterà beni e servizi (ad esempio, antivirus, server di governo degli accessi alla rete interna, protezioni perimetrali, formazione degli addetti, ecc.) adatti a mitigare i rischi individuati.
Le aziende più consapevoli arrivano a calcolare il cosiddetto ROSI (Return on Security Investments), vale a dire il vantaggio conseguente agli investimenti, tenendo in considerazione, a fronte dei costi, i danni che gli investimenti evitano e i benefici diretti che si conseguono da un incremento della sicurezza (integrità dei dati gestiti, continua disponibilità di dati e informazioni, migliori funzionalità di reti e sistemi, migliore organizzazione delle regole di acceso a dati e informazioni e così via).
Se si riesce a definire con precisione gli obiettivi che si vogliono raggiungere e a dare il giusto valore ai vantaggi conseguenti, si comprende che i soldi spesi per la sicurezza non sono buttati, anche perché si riesce a finalizzare e dimensionare gli investimenti nel modo più appropriato e senza sprechi.
sec
Gli investimenti per la sicurezza sono visti, normalmente, come puri costi, da sostenere o perché alcune misure sono imposte dalla normativa legale (ad esempio la tutela della privacy) o perché si è spaventati da non meglio precisate azioni poste in essere dai cosiddetti “hacker”.
Come si vede, domina un atteggiamento irrazionale: o si evitano costi di cui non si apprezzano i ritorni e si affrontano investimenti sulla base della paura e senza averne sufficientemente valutato le motivazioni.
Il superamento dell’irrazionalità può avvenire cominciando a fare un’operazione che può apparire banale a prima vista ma che è fondamentale. Si tratta dell’analisi del rischio: ogni azienda dovrebbe identificare i rischi che corre, valutarli (comprendere, cioè, qual è l’impatto negativo sul patrimonio e la probabilità che la minaccia si verifichi) e comprendere quali sono e quanto costano le contromisure che riducono i rischi significativi a livelli accettabili.
L’analisi deve essere compiuta in maniera professionale; è un primo costo da sostenere con attenzione, scegliendo professionisti specializzati nell’information security e senza conflitti di interesse (non devono essere i venditori di hardware e software, per intenderci).
Una volta effettuata l’analisi si potrà disporre di una guida per comprendere la natura e il valore dell’investimento in sicurezza: l’azienda acquisterà beni e servizi (ad esempio, antivirus, server di governo degli accessi alla rete interna, protezioni perimetrali, formazione degli addetti, ecc.) adatti a mitigare i rischi individuati.
Le aziende più consapevoli arrivano a calcolare il cosiddetto ROSI (Return on Security Investments), vale a dire il vantaggio conseguente agli investimenti, tenendo in considerazione, a fronte dei costi, i danni che gli investimenti evitano e i benefici diretti che si conseguono da un incremento della sicurezza (integrità dei dati gestiti, continua disponibilità di dati e informazioni, migliori funzionalità di reti e sistemi, migliore organizzazione delle regole di acceso a dati e informazioni e così via).
Se si riesce a definire con precisione gli obiettivi che si vogliono raggiungere e a dare il giusto valore ai vantaggi conseguenti, si comprende che i soldi spesi per la sicurezza non sono buttati, anche perché si riesce a finalizzare e dimensionare gli investimenti nel modo più appropriato e senza sprechi.
sec