Una proposta di valutazione degli investimenti in sicurezza è un fatto interessante. Chiamarla con il nome d’un vecchio fallimento potrebbe esserlo meno.
La notizia, fresca di qualche giorno, è che Oracle, Clusit ed Aiea hanno proposto Rosi, una valutazione del ritorno dall’investimento per il mondo della sicurezza e al quale hanno contribuito Deloitte, Ernst & Young, Kpmg e PwC. L’annuncio ha preceduto di qualche giorno l’edizione milanese del Security Summit, organizzato a Milano proprio dal Clusit dal 16 al 18 marzo, quindi con chiusura oggi.
La metodologia proposta permette di valutare l’impatto d’un piano di sicurezza sul business, quindi anche di confrontare più ipotesi in maniera meno arbitraria che non nel passato. “Troppo spesso gli adeguamenti della sicurezza sono fatti solo per adempiere alle nuove normative”, dice il segretario Clusit Paolo Giudice, aggiungendo che i costi delle componenti indirette della sicurezza sono sostanzialmente indeterminabili.
Con l’approccio Rosi, attraverso due diversi approcci (top-down e bottom-up) si realizza un documento che contiene valutazioni quantitative e confrontabili sulla proposta in atto. Il lavoro è tutt’altro che banale e contiene elementi di grande interesse (uno per tutti, la normativa Iso 27000), ed è assolutamente condivisibile l’obiettivo di regolarizzare un settore. “Il desiderio del gruppo di lavoro è quello che il Rosi porti valore al mercato in senso ampio, senza limitazioni superflue”, recita il materiale online. La documentazione disponibile fa più volte riferimento alla necessità di modificare e in un certo senso di validare una parte dei processi di business come conseguenza di un approccio metodologico alla sicurezza.
Il destino nel nome
D’altro canto l’acronimo “Rosi” fa riferimento al Roi, return on investment, che non è un parametro di Bpm, Business process management. Com’è noto, si tratta di un parametro che permette di valutare quanto denaro fresco entri in cassa a seguito d’una azione, all’interno d’un modello di business classico.
Orbene, estrapolare il Roi dal suo contesto priva il parametro e i suoi derivati di qualsiasi valenza economica. Poiché però è difficile parlare con i manager decisori di spesa, tutta gente ligia alla tradizione, va molto di moda appoggiare proposte di spesa su un parametro che ricordi il Roi: si tratta di una operazione di marketing che cerca di rendere simpatica la proposta di acquisto/investimento in nuovo Ict.
Purtroppo negli ultimi tempi c’è stata parecchia trasformazione dell’Ict tradizionale e l’“operazione simpatia” è stata fatta in più settori. Dalle risorse umane al Roc (return on collaboration) o Social Roi al Roni (risk of not investing) del change management, passando per molti altri casi, c’è sempre di mezzo la sostituzione del denaro fresco del Roi con ipotetici risparmi a fronte d’un modello diverso. Ecco perché il nome scelto mi sembra fuorviante.
Inoltre sia questo concetto, sia lo stesso nome Rosi, sono tutt’altro che nuovi: qualche anno fa, tra il 2002 e il 2004, avevano avuto una certa eco, finendo sempre nel dimenticatoio .
Auguro alla nuova iniziativa d’irrobustirsi e di fare proseliti. Ma era proprio necessario dare ad una nuova metodologia un nome usato e sgualcito e che anziché suggerire un impatto sui processi aziendali promette guadagni e mantiene risparmi?
Forse conveniva fare uno sforzo marketing in più.
