Nel corso del Security Summit, tre giorni milanese dedicata alla sicurezza informatica, è stato presentato il Rosi (Return On Security Investment), un metodo di valutazione dei vantaggi di un investimento in sicurezza informatica che intende proporsi come uno strumento di valore per tutto il mercato.

Rosi nasce da un'iniziativa promossa nel settembre dello scorso anno da Oracle, Clusit (Associazione Italiana per la Sicurezza Informatica) e Aiea, (Associazione Italiana Information Systems Auditors).

Al Gruppo di Lavoro hanno partecipato anche Deloitte, Ernst & Young, Kpmg e PricewaterhouseCoopers, che si sono adoperate per arrivare a linee guida ritenute congiuntamente valide per la valutazione degli investimenti in sicurezza.

Il presupposto del metodo parte dalla considerazione che oggi le spese per mettere in sicurezza i sistemi It e i dati gestiti sono vissute dalle imprese come un costo da sostenere per conformarsi alle policy e per adempiere alle normative, e non come un investimento da cui ci si attendono precisi ritorni.

Ma quello che il metodo vuole affermare è che le spese in sicurezza, in realtà, ripagano ampiamente con la minore probabilità di subire dei danni.

Pertanto, nel momento in cui la minaccia si manifesta, il valore delle contromisure volte a contrastarla diventa almeno pari, se non superiore, al valore del bene protetto, in considerazione dei mancati danni indiretti, in termini di riduzione del business, ricadute sulla reputazione aziendale, sanzioni pecuniarie.

Il metodo Rosi messo a punto dai membri del gruppo di lavoro vuole pertanto aiutare a stimare correttamente il valore degli investimenti in soluzioni per la sicurezza It e a giustificarli, considerando che essi sono destinati principalmente a prevenire potenziali rischi non completamente quantificabili anziché a generare un beneficio diretto.

Rosi fornisce, tramite criteri oggettivi e pratiche, un supporto decisionale per quanti ricoprono posizioni di responsabilità nel settore Ict e sono chiamati ad allocare in modo prudente risorse scarse per mettere in sicurezza i sistemi e i dati informatici. Il metodo può essere eseguito anche a posteriori e rappresenta un supporto per la valutazione di efficacia dei processi e dei sistemi già adottati.