Ovvero, come individuare il ritorno dell’investimento relativo a una soluzione sulla sicurezza

Oggi vi introduciamo al ROSI, acronimo di “Return On Security Investment”. L’acronimo ROSI sottende il lavoro di valutazione dei vantaggi potenziali di un investimento in sicurezza, in particolare in sicurezza delle informazioni. È un supporto decisionale rivolto in primis a quanti sono in posizioni di responsabilità sul settore di Information e Communication Technology delle organizzazioni, e devono allocare in modo prudente delle risorse scarse. Può essere anche, a posteriori, un supporto per la valutazione di efficacia di processi e/o impianti già in produzione. Questa iniziativa è stata avviata sul nostro territorio da AIEA, Clusit e Oracle, nel settembre 2009, e vede la partecipazione all’interno del Gruppo di Lavoro anche di Deloitte, Ernst & Young, KPMG e Pricewaterhouse-Coopers. Il ROSI non è, come si può intuire, un oggetto paragonabile al ROI, che si calcola in ambito finanziario, in quanto non stiamo trattando un investimento nel senso tecnico del termine ovvero di una spesa per un bene che di per sé produrrà ricavi, a meno che il business principale dell’investitore sia proprio la sicurezza (e quindi investire, ad esempio, nell’acquisto di un sistema di sicurezza consente di sfruttare questo sistema per fornire servizi a valore aggiunto). In generale, le spese in sicurezza ripagano con la minore probabilità di subire dei danni, e quindi, salvo i casi (si spera infrequenti) di effettivo manifestarsi della minaccia, richiedono una spesa certa a fronte di un danno incerto. È sempre vero, inoltre, che nel momento in cui la minaccia si manifesta il valore delle contromisure diventa almeno pari a quello del bene protetto, se non superiore considerando tutti i mancati danni indiretti (riduzione di business, immagine, sanzioni, ecc.). Una variante di questa motivazione è quella della riduzione di costi, quale ad esempio quella che si realizza implementando soluzioni di sicurezza che consentono l’abbattimento dei costi di supporto tramite un self-service “hardened”.

Più a fondo
Analizzando più a fondo il tema, si potrebbe inoltre argomentare che oggi una spesa in sicurezza, se adeguatamente resa nota alla clientela, produce dei benefici reali in termini di immagine di solidità dell’organizzazione e quindi andando ad alimentare la fiducia che la clientela ha nell’organizzazione stessa. Si intuisce che questa maggiore fiducia si trasferisce immediatamente in un miglioramento dei risultati operativi. In aggiunta, il panorama normativo oggi esistente fa sì che, in molti casi, le spese in sicurezza siano obbligatorie per il rispetto delle normative medesime e che quindi abbiano un ritorno effettivo – anche se difficilmente misurabile – in termini di compliance. A riguardo dell’iniziativa si può leggere che l’esperienza delle aziende e delle associazioni componenti del Gruppo di Lavoro mostra chiaramente come esista una necessità del mercato della sicurezza informatica di “fare un passo avanti” e di disporre di criteri e metodi oggettivi che permettano di ottimizzare gli investimenti nei capitoli di spesa in sicurezza informatica. Mentre altri tipi di spesa in tecnologia vengono riconosciuti, correttamente, non solo come spese ma come investimenti (volti a rendere in assoluto possibili certe azioni imprenditoriali, oppure a migliorare l’efficienza e/o l’efficacia di taluni processi, e così via), la percezione della spesa in sicurezza è quasi dovunque quella di un puro centro di costo, un’obbligazione, quasi una “tassa” da pagare per conformarsi alle pratiche correnti piuttosto che alle pretese di un regolatore o di un legislatore. Si aggiunga che anche l’industria del software e dell’hardware di sicurezza ha spesso adottato, come propria strategia di vendita, quella di seguire questa linea di minima resistenza. Intere campagne marketing hanno cercato di indurre alla spesa sventolando lo spauracchio di non ben identificati “cattivi” (spesso definiti, impropriamente, “hacker”) in agguato per introdursi, controllare, danneggiare e carpire i nostri sistemi informatici. O ancora, la minaccia, tanto più difficile da razionalizzare perché impersonale ed eterea, del “virus” o del “chissà cosa ti potrebbe succedere”. La situazione è quindi, spesso (troppo spesso, a nostro parere) quella di spese in sicurezza informatica spiegate e decise in base alla paura, all’incertezza, al dubbio.

L’attuale situazione
La situazione, per chi invece lavora nel settore, è palesemente assai diversa da questa: all’hacker non ben identificato si sostituiscono criminali ben vivi e presenti, e determinati ad approfittare indebitamente di sistemi ed informazioni altrui per un preciso e personale tornaconto economico. Al “chissà cosa ti potrebbe succedere” si sostituisce una puntuale analisi del rischio realmente gravante sulla specifica organizzazione, dove le minacce, le vulnerabilità, le aree d’impatto e le probabilità d’accadimento vengono valutate in modo oggettivo, per quanto a volte per forza in via qualitativa e non quantitativa. Alla spesa a fondo perduto si sostituisce l’investimento, deciso in base a motivazioni razionali e sostenibili, e dal quale ci si attendono precisi ritorni, magari non a livello economico ma comunque vantaggiosi per l’organizzazione. L’esperienza dimostra che questi passaggi sono possibili e vantaggiosi, e si vuole, con questo documento, esporre le condizioni a priori che sono necessarie, le metodologie possibili per affrontare il lavoro ed i cambiamenti d’atteggiamento che è possibile ottenere. Obiettivo del lavoro è stato pertanto quello di consolidare una riflessione che da più parti stava avvenendo, senza peraltro avere grande eco, in merito al ROSI 1, per dare agli operatori economici pubblici e privati uno strumento che sia di valore per tutto il mercato, e ne stimoli la crescita e la maturazione su tutti i fronti. In generale i security manager e/o i responsabili dell’Information Technology in azienda trovano grosse difficoltà a giustificare gli investimenti in soluzioni per la sicurezza delle informazioni, vuoi per il proprio background culturale, che in genere è più tecnico e quindi meno portato a ragionare in termini economico-finanziari, vuoi per la natura stessa delle soluzioni che nella maggior parte dei casi sono destinate a prevenire potenziali rischi non completamente quantificabili piuttosto che finalizzate a fornire un beneficio diretto e misurabile.

Alla ricerca di budget per la sicurezza
Tuttavia, proprio gli stessi responsabili della sicurezza e dell’Information Technology lamentano che ottenere dei budget adeguati per far fronte agli investimenti in sicurezza sia una delle principali sfide che quotidianamente si trovano ad affrontare in azienda, come è emerso dall’annuale ricerca di Ernst & Young “Global Information Security Survey”. Il problema condiviso da molte persone è la necessità di “giustificare” a un proprio superiore la proposta di spesa in questo ambito, la sicurezza delle informazioni, che si continua a dimostrare assai sfuggente, perché – trattando di spese certe a fronte di eventi per definizione incerti, anzi che si cerca assolutamente di evitare, prevenire o mitigare – non si presta ad una trattazione numerica tout court dove i benefici di una spesa possono essere misurati in modo preciso a priori. Nondimeno, come esseri umani, siamo abituati in realtà a trattare con situazioni dove il beneficio è solo ipotetico, e nella nostra vita privata non abbiamo difficoltà ad accettare una spesa il cui ritorno non sia immediatamente tangibile. La difficoltà è in parte generata dall’organizzazione stessa che, dovendo contenere per forza le sensibilità di molte persone, richiede di essere “convinta” di questa necessità con argomentazioni il più possibile oggettive e quindi facili da accettare per chiunque. Il lavoro di stesura di un ROSI guida quindi nella raccolta di una serie di dati significativi, anche se non sempre quantitativi, e nella costruzione di un documento di sintesi dove proporre delle deduzioni ragionevoli e sostenibili rispetto alle possibili spese, con l’ottica di trasformare queste spese in investimenti.

Conclusioni
In definitiva, mediante la creazione di un ROSI, diventa possibile motivare in modo oggettivo le proposte di investimento sulla sicurezza delle informazioni e fare una graduatoria tra varie proposte di investimento in modo meno arbitrario che nel passato. Al contempo diventa possibile valutare in modo oggettivo, a posteriori, la bontà delle scelte di investimento sulla sicurezza delle informazioni e costringe a uscire dall’ambito puramente tecnologico per valutare l’impatto complessivo di ciascun investimento sui risultati operativi finali. Il calcolo del ROSI può avvenire attraverso le macro attività suddivise in quattro fasi. Si parte dall’identificazione delle esigenze, passando poi per l’identificazione degli scenari di intervento, la valutazione del ROSI per ogni scenario e la predisposizione di documenti ROSI. Per poter giustificare l’adozione di una soluzione di sicurezza e individuarne il ritorno del relativo investimento è necessario tenere in considerazione tutti quegli elementi che concorrono alla valutazione dell’investimento stesso. A tal fine, il gruppo ROSI propone una possibile modalità di rappresentazione schematica per la stesura di un pattern, che potrà essere successivamente utilizzata a supporto del documento di presentazione al management per ottenere l’approvazione dell’investimento.
 

Il ROSI è stato presentato a un recente evento organizzato dall’AUSED attraverso uno speech di Alessandro Vallega di Oracle e dei membri delle società che lo hanno prodotto, in particolare per Clusit, Mauro Cicognini; per AIEA, chapter ISACA di Milano Alberto Piamonte; per Deloitte Andrea Longhi; per Ernst & Young Andrea Mariotti; per KPMG Pieluigi Lonero e per PricewaterhouseCooper Fabio Lorenzo. Vallega ha sottolineato come il ROSI sia nato in Italia “grazie alla fortunata convergenza di forze che tutte ruotano intorno al tema della sicurezza logica. In particolare in Italia abbiamo costituito una Community di Partner Oracle esperti della tematica e tale community costituisce un contesto precompetitivo per i partner dove confrontarsi apertamente sui temi della formazione tecnica, informazione manageriale e proposizione al mercato. In tale community ci si confronta regolarmente sulle necessità dei nostri clienti e si osserva il gap che esiste tra la necessità di sicurezza e l’effettivo comportamento delle aziende e delle organizzazioni nostre clienti. Ritenendo tale gap una sfida e un’opportunità, abbiamo immediatamente accolto la proposta di Clusit di costituire un gruppo di lavoro sul tema del ritorno dell’investimento in sicurezza informatica. L’esigenza era chiara: aiutare le aziende a scegliere dove e perché investire in sicurezza in un momento di ristrettezze economiche e aiutare i decisori a comunicare in maniera appropriata per ottenere l’approvazione dell’investimento. Una volta condiviso l’obiettivo, siamo passati alla definizione del come raggiungerlo e come contribuire alle diverse esigenze dei nostri clienti. L’originalità della nostra proposta è stata quella di coniugare due approcci, uno più rigoroso e seguito anche da altri studi internazionali e denominato “top-down”, con un altro chiamato “verify” e basato sul concetto di “pattern”, ovvero una sintesi basata sulle esperienze di investimento e implementazione di specifiche soluzioni tecnologiche. Inoltre abbiamo sempre utilizzato le norme e best practice internazionali cercando di contenerne la complessità per il lettore non “professionista”. “Crediamo – ha aggiunto Vallega – che queste decisioni costituiscano un elemento di novità ed è quindi ferma la nostra intenzione di portare il ROSI all’estero, ad integrazione di altri contributi internazionali. Al momento stiamo provvedendo ad arricchire il documento in diverse direzioni: stiamo incorporando i case study, ovvero la documentazione dell’esperienza d’uso dei primi clienti; stiamo estendendo il capitolo dei pattern sfruttando la disponibilità di altri attori a contribuire al documento, stiamo aggiungendo un capitolo di rischi ed incidenti dal punto di vista di un gruppo assicurativo e stiamo rivedendo il documento nel complesso per correggere alcuni errori della prima stesura. Il prossimo autunno pubblicheremo la nuova versione e la tradurremo in lingua inglese”. Internamente il Gruppo di Lavoro ROSI è molto coeso e opera con un modello democratico. Oltre che aver scritto parte dei contenuti del ROSI, Oracle ne ha fortemente supportato la creazione e fornisce al gruppo una sorta di coordinamento operativo (riunioni, verbali, sistemi di web collaboration, supporto / organizzazione di eventi pubblici ecc.), per il resto, ha evidenziato Vallega “tutto si decide insieme e si fa insieme. Ci si incontra ogni mese in una delle sedi dei partecipanti scelta a rotazione per rafforzare lo spirito di gruppo e la reciproca conoscenza e si dibatte sia di contenuti sia di come promuovere il ROSI sul mercato. Gli autori esterni al ROSI e i clienti con i quali fare i case study sono approvati dal gruppo e quindi assegnati ad uno dei membri che ne riporta regolarmente lo stato di avanzamento”. Ogni azienda ed associazione finanzia la propria parte di lavoro ed ognuno di noi ha l’obiettivo di promuovere i propri servizi e prodotti sul mercato, ma secondo una regola di grande rispetto per le necessità del cliente. Alla domanda dei partecipanti all’evento AUSED su quale sia, nelle aziende del nostro paese, lo stato dell’arte rispetto alle tematiche dal ROSI, Vallega ha commentato: “Questa domanda coglie il punto centrale delle motivazioni che ci hanno portato a sviluppare il ROSI e vorrei dare solo qualche spunto di riflessione. Il primo è che in un contesto economico di forte decrescita della spesa ICT ( – 8,1% anno su anno, secondo il rapporto Assinform per l’anno 2009), il gap tra la sicurezza attesa e quella reale, sia più alto che in altre aree. Tale gap è dovuto al fatto che la sicurezza è percepita essere un mero costo ed è estremamente difficile fornire al management informazioni sul ritorno. E purtroppo questo capita mentre stiamo osservando il consolidamento di organizzazioni criminali che sfruttano sempre di più tali debolezze per perpetrare frodi, spionaggio industriale, sabotaggio… Il secondo punto è che non basta più proteggere il perimetro (antivirus e firewall) ma raramente gli interventi di sicurezza si pongono altri problemi. Il top management non chiede il ritorno dell’investimento di tali tecnologie, vale il modello ‘anche io’, ce l’hanno tutti, ma ciò non capita per le altre misure di sicurezza, come per esempio l’identity and access management, la protezione documentale e la protezione dei database. Ma attenzione: la percezione può trarre in inganno. E’ dimostrato da diverse ricerche che si hanno i danni monetari maggiori quando è coinvolto il personale interno delle aziende e le frodi impattano molto più pesantemente sui clienti aziendali e addirittura sull’ambiente con conseguenze nefaste anche per l’immagine aziendale” . “Il terzo punto – ha concluso Vallega – riguarda la compliance come motivazione di investimento. La mia sensazione è che in Italia l’anno scorso molti investimenti siano stati fatti per ragioni di compliance. Investo per sistemare un obbligo di legge (es. Garante della Privacy) o di settore / contrattuale (es. PCI-DSS) e proteggermi dal rischio di non compliance e dalle conseguenze civili e penali. Purtroppo se la sicurezza è percepita come un mero costo e il decision maker non “approfitta” dell’intervento di compliance per intervenire significativamente sui rischi di riservatezza, integrità e disponibilità, si perde un’opportunità. La compliance si può anche raggiungere con soluzioni di facciata che non insistono necessariamente sulle mie maggiori vulnerabilità e non indirizzano la mie principali e specifiche necessità aziendali. Il mio suggerimento è di considerare la compliance insieme alle altre motivazioni di un buon investimento in sicurezza ovvero al contenimento del rischio operativo, alla protezione dell’immagine aziendale e all’aumento dell’efficienza dei processi di controllo”. Gli organizzatori si augurano che chi leggerà il ROSI ne tragga spunto e beneficio per fare delle scelte più informate e inoltre che lo sfrutti come un ulteriore strumento di convincimento all’interno della sua azienda. Parlare di ritorno dell’investimento in progetti di sicurezza aiuta la cultura della sicurezza e di tale cultura in Italia c’è un deficit. Inoltre se un’azienda desidera sperimentare il ROSI, può essere aiutato da uno dei membri del gruppo di lavoro con un intervento consulenziale gratuito della durata di quattro giorni / persona. Oltre al metodo e le appendici scaricabili gratuitamente dal sito web del ROSI, il gruppo di lavoro ha definito un framework di approccio al ROSI che comprende un piano di progetto e dei documenti e check list di lavoro per le prospettive Verify e per il Top Down sulla Security Governance, sui Processi IT di Sicurezza e sul Security Risk Management. Tali strumenti sono utilizzati per la predisposizione dei case study aziendali.