Come misurare il valore di un investimento in sicurezza IT? Come si riflette la sua importanza sulla struttura amministrativa e sulla cultura aziendale?
Di recente, un CFO ha affermato che l’investimento in cybersecurity era un investimento perso e che la sua azienda ha speso molto, “senza aver nessun ritorno dimostrabile”. Il sito KrebsonSecurity ha realizzato un’analisi delle 100 aziende principali a livello mondiale e ha scoperto che solo il 5% di queste dispone al suo interno un chief information security officer o un chief security officer.
Possono sembrare due argomenti disgiunti, ma in realtà sono strettamente legati. Perché? Se un’organizzazione non vede la cybersecurity come un investimento determinante, non considererà i responsabili della sicurezza come parte del team strategico.
È un circolo vizioso che ormai non funziona più. Un’azienda che valuta ancora la sicurezza come un costo irrecuperabile, dovrà cambiare opinione. E se i responsabili della protezione non fanno ancora parte del team esecutivo, è giunto il momento di accoglierli con un tappeto rosso.
Non si tratta di costi senza recupero
Un costo senza ritorno è ciò che viene investito e non può essere recuperato. Se un’azienda valuta la cybersecurity in questo modo, corre il rischio di misurare il valore dell’investimento basato solo sulla spesa e non sui benefici apportati. La componente più pericolosa di questa visione è l’inattività, cioè pensare di essere protetti perché mai colpiti da un attacco. Tutti invece sono vulnerabili e gli investimenti in sicurezza non sono solo una polizza assicurativa in caso di disastro. Nell’economia mobile e sempre connessa, basata sui dati, la sicurezza è una tecnologia abilitante che consente di fare business. È la base di ogni attività.
“La cybersecurity non è solo un costo, ma un elemento essenziale per l’innovazione e la trasformazione digitale. Pensiamo alle aziende che hanno sfruttato la tecnologia per rivoluzionare un determinato settore: Uber, Airbnb e Netflix, per citarne alcune. Senza un impegno costante e strategico rivolto alla sicurezza, i loro modelli di business non avrebbero funzionato,” spiega Sean Duca, Vice President, Regional Chief Security Officer, Asia Pacific & Japan di Palo Alto Networks.
Fare fruttare gli investimenti
Un rischio ulteriore che si corre con questo approccio è di perdere opportunità e sprecare risorse. Molte aziende acquistano tecnologie di sicurezza per rispettare la conformità o rispondere ai requisiti di un audit. La mentalità da costo senza recupero è “ora che abbiamo risolto questo problema di compliance, proseguiamo”.
Il rischio di questo approccio è di non rendere operativo tutto il valore dell’investimento. La compliance non è la la sicurezza e, se gli investimenti vengono effettuati in quest’ottica, si utilizzerà solo il 10 o 15% delle capacità delle soluzioni adottate. È uno spreco inutile.
È importante adottare un approccio basato sui risultati degli investimenti in sicurezza, per collaborare con i partner tecnologici e raggiungere gli obiettivi di protezione e, di conseguenza, di business. Se la sicurezza è un costo irrecuperabile, il valore del partner sarà considerato inferiore, mentre in realtà è una componente inestimabile nell’ottimizzare le funzionalità e le capacità delle soluzioni installate, grazie all’esperienza sviluppata in differenti settori. È giunto il momento di considerare i responsabili di sicurezza importanti anche per la definizione delle strategie aziendali. Si tratta di costruire una cultura di cybersecurity e di riconoscere che la sicurezza non è un costo a fondo perduto, ma un investimento per il futuro della propria azienda.