Le forze in gioco nel definire il budget

Il contributo che presentiamo in questa pagina è frutto di una collaborazione tra Lineaedp e gli Osservatori Ict & Management della School of Management del Politecnico di Milano. www.osservatori.net

Quanto investono le aziende sulla sicurezza Ict è stato uno dei temi di partenza del primo anno di ricerca dell'Osservatorio Information Security Management della School of Management e dell'Ict Institute del Politecnico di Milano, che ha visto la conduzione di oltre 30 studi di caso cross-industry, e di una survey che ha coinvolto oltre 60 Cio di imprese di medio-grandi dimensioni. I risultati di tale ricerca sono contenuti all'interno del Report 2008 “Ict Security: quale governance?” (si veda su www.osservatori.net). Il budget dell'Ict security ha una natura piuttosto composita e non è riconducibile a un'unica unità organizzativa. Per l'identificazione delle diverse componenti è bene, innanzitutto, individuare i diversi responsabili coinvolti. In questo senso bisogna distinguere tra progetti di investimento e spese correnti. Quest'ultime, infatti, sono normalmente quantificate dalle unità responsabili delle attività di Ict Security, sia per attività legate all'aggiornamento/monitoraggio infrastrutture e applicativi, sia per attività legate a verifiche di compliance a normative e certificazioni, se di loro competenza, e confluiscono quindi all'interno del budget Ict.

Lo scenario è invece più complesso per ciò che concerne i progetti di investimento. In questo caso, infatti, è necessario innanzitutto distinguere tra:

• progetti “cross-unit”, il cui budget è il risultato di una trattativa tra l'unità Ict security/Ict e l'unità cliente (spesso mediata dal demand management), in quanto questi costi vengono allocati alle unità cliente;

• progetti interni all'Ict, il cui budget è tipicamente stabilito dai responsabili della security e approvato dal Cio.

Raramente per l'approvazione di questi progetti è necessario ricorrere a livelli più alti di management o a comitati investimenti/di sicurezza. In ogni caso, sia l'individuazione dei responsabili sia la quantificazione dello spending complessivo in security presentano una serie di ulteriori criticità. In particolare, nel caso dei progetti di investimento, le voci riconducibili alla sicurezza spesso sono annegate in progetti caratterizzati da scope più ampio (ad esempio legati a processi di compliance, allo sviluppo di soluzioni di business Ict based, e via dicendo), e non sono quindi identificabili con precisione. In altri casi, il problema è invece legato al fatto che alcune iniziative, pur essendo chiaramente legate alla sicurezza, sono considerate come attinenti alle operation, o all'area Organizzazione/Qualità totale (è il caso tipico degli investimenti in progetti di business continuity o disaster recovery).

Per le spese correnti, invece, i problemi principali derivano da:

• classificazione di determinate attività come “Ict security related” o meno (è il caso di backup, storage, e così via);

• possibilità di identificare alcune componenti di costo a causa delle caratteristiche del sistema di cost accounting (nel caso di attività interne) e/o della modalità di fatturazione (nel caso di attività esternalizzate), che non consentono un'analisi sufficientemente approfondita e puntuale.

Vi sono, poi, alcune peculiarità, legate sia alle specificità del business sia a precise scelte gestionali (di tipo motivazionale). È il caso di una telco del panel di ricerca, per cui esistono più strutture che si occupano di sviluppo delle applicazioni di business, ciascuna caratterizzata da risorse con competenze di security. Il management, in questo caso, ha scelto deliberatamente di non procedere alla quantificazione ex ante della quota parte dei budget di tali unità da dedicare alla security, in quanto si ritiene che tale soluzione possa essere controproducente. La scelta riguardo l'utilizzo di tale budget spetta ai responsabili delle varie business unit, che sono anche responsabili delle performance di sicurezza delle soluzioni sviluppate. Questo è motivato dalla consapevolezza che, in caso contrario, i manager di linea tenderebbero a privilegiare gli investimenti in nuove soluzioni di business, cercando oltretutto di ridurne il più possibile il time to market, col risultato di trascurare gli aspetti legati alla security e creare tensioni con gli Ict security manager. In questo modo, invece, sono i manager delle business unit a dover decidere, sulla base delle loro esigenze, il giusto trade off tra investimenti di sviluppo del business e investimenti in security.

Infine, più di un'impresa del panel, ha segnalato la difficoltà di definire un budget di Ict security realmente affidabile, a causa dell'elevata imprevedibilità del contesto, legata anche ai cambiamenti (spesso imprevisti e subitanei) della normativa, che impattano sul budget, nonché sulla pianificazione delle attività, vista la loro elevatissima priorità (si veda per esempio la legge n. 155 del 2005, nota come legge “Pisanu”, nel caso delle telecom company).

CONDIVIDI

LASCIA UN COMMENTO

Please enter your comment!
Please enter your name here