5.3.07

[sicurezza] La dimensione economica della sicurezza delle informazioni (parte I^)

E' l'aspetto economico, non tecnologico, che determina quali tecnologie di sicurezza vengono utilizzate.

La frase introduttiva, di uno dei "pensatori" della sicurezza informatica, è al contempo spiazzante e illuminante: l'implementazione e lo sviluppo di una tecnologia di sicurezza sono sostenute soprattutto da elementi economici imprescindibili.
Collocando il tema all'interno di un'azienda, la dimensione economica della sicurezza delle informazioni aziendali è nota soprattutto al Direttore Finanziario, il quale, come in un meta-supermercato, applica una targhetta con il costo ad ogni elemento dell'azienda.
Con questa metafora non voglio sminuirne competenze e professionalità, ma anzi cercare di mostrare che un’azienda profittevole deve saper quantificare ogni sua componente e deve fare in modo che ogni responsabile abbia ben chiaro quanto impatti il suo dipartimento nei profitti e nelle perdite dell’azienda.
Ho parlato di sicurezza delle informazioni e non solo di sicurezza dei sistemi informativi, poiché l’informazione è uno degli asset aziendali più importanti e la sua integrità non passa soltanto attraverso la tecnologia, ma anche attraverso ben definite procedure aziendali e una consapevolezza da parte di chiunque tratti informazioni sensibili (vedasi precedente articolo).
Le tecnologie per la sicurezza delle informazioni hanno un costo, come pure i salari dei professionisti IT in grado di amministrarle; sfortunatamente, però, sempre poca attenzione è stata dedicata al fattore economico e alle prassi finanziarie applicabili all'argomento.
Per comprendere in che ambiente ci stiamo addentrando comincerò a parlare di perdite finanziarie: il Computer Security Insitute, in collaborazione con l'FBI, conduce annualmente una ricerca sui crimini informatici nelle aziende: nel 2006 è risultato che la perdita totale delle 313 aziende che hanno voluto fornire questa informazione è stata di 52.494.290 $.

Perdite causate da Computer Security Incidents (in $)

Questa cifra, sebbene molto ragguardevole, non fornisce un quadro esaustivo dei costi indotti dall'Information Security, non solo perché solamente solo 313 delle più di 600 società hanno voluto o potuto fornire una quantificazione economica del danno, ma anche perché ci sono voci, come quella riguardante il furto o la perdita di informazioni sensibili, che non sempre vengono dichiarate, a causa dei potenziali danni d’immagine dell’azienda (lo ammette più del 50% degli intervistati).
Un altro dato significativo riguarda la percentuale di budget allocata per spese di security: il 47% delle aziende intervistate alloca per la sicurezza meno del 2% del budget IT, mentre un 12% non è in grado di quantificarne l'entità.


Percentuale del budget IT allocata per la sicurezza

Questi dati di fatto confermano la sensazione consolidata che i manager IT e della sicurezza abbiano dei grossi problemi nel giustificare le spese inerenti la sicurezza delle informazioni.
A volte vengono utilizzati metodi tipicamente finanziari, come il calcolo del ROI, ma i risultati non sono sempre confortanti: ad esempio, chi è in grado di quantificare il ritorno sugli investimenti di un antivirus?
Il CFO o direttore finanziario utilizza anche altre figure, come l’NPV (net present value) e l’IRR (internal rate of return) che meglio si confanno a giustificare una richiesta di fondi nella ripartizione periodica del budget.
Ma come chiedere a una figura preminentemente tecnica come il manager IT di vestire per un momento i panni di un ragioniere?
Un paio di esempi possono aiutarci a introdurre l'argomento: il security manager di una grande azienda americana (che ha preferito non divulgare il proprio nome) ha sviluppato un programma per misurare i ritorni del sistema anti-intrusione della società, utilizzando anche una lista di costi che si sarebbero dovuti sostenere in caso i tentativi individuati dal sistema fossero diventati dei problemi veri e propri.
I responsabili della sicurezza di Oracle hanno fatto lo stesso quando si sono resi conto che il precedente sistema di Intrusion Detection generava dal 60 al 70% di falsi positivi. Uno dei sistemi in test ne generava molti meno e, quindi, è stato calcolato che il processo di sostituzione (servizi professionali, licenza, costi indotti e di downtime, successivo mantenimento) sarebbe costata molto meno del mantenimento del sistema precedente.
Il tema della dimensione economica della sicurezza si fonda su un paradosso che affascina gli economisti e demoralizza i manager IT: più un investimento in sicurezza è adeguato meno visibili e misurabili sono i suoi risultati.
Il calcolo del ROI non può essere applicato alla perfezione perché spesso il ritorno sugli investimenti in sicurezza è intangibile: è più opportuno quindi focalizzarsi sulle aspettative di perdita.
Un altro svantaggio del ROI è che non tiene conto del valore del denaro nel tempo: il denaro speso oggi vale più del denaro che si riceverà più avanti, per la perdita indotta dal mancato investimento di quella quantità di denaro.
Ci viene qui in aiuto il Net Present Value, parametro più utile per considerare il valore di un investimento nel tempo: l'NPV è il risultato della sotrazione tra costi associati all’investimento nel tempo e totale scontato dei risparmi attesi.
L'NPV confronta il valore di un euro oggi contro il valore dello stesso euro nel futuro, considerando l'inflazione e il ritorno: normalmente, se l'NPV di un progetto è positivo, ci sono più probabilità che il progetto venga accettato; in caso contrario il progetto può essere rifiutato perchè il cash flow risulta negativo.

Fine della prima parte: nella prossima cercherò di calarmi nei panni di un manager IT (cosa che peraltro ho già fatto nella realtà) e tratterò più in particolare e con degli esempi concreti il concetto di NPV.

P.S.: un ringraziamento al Direttore Finanziario della società per cui ho lavorato fino al 2003, per avermi introdotto all'argomento e per essere stato così esigente sugli aspetti economici dei progetti

Nessun commento: