Quando i lettori di questo executive briefing inizieranno (come si spera) a evangelizzare gli utenti finali, si troveranno di fronte probabilmente a un pubblico scettico sul termine ROSI (Return on security investment), che andiamo a declinare di segui …
Quando i lettori di questo executive briefing inizieranno (come si spera) a evangelizzare gli utenti finali, si troveranno di fronte probabilmente a un pubblico scettico sul termine ROSI (Return on security investment), che andiamo a declinare di seguito.
Questa definizione può essere localizzata come segue: Il punto di massimo ROSI si ha quando il costo totale della sicurezza è inferiore alla somma tra i costi degli eventi di sicurezza (inclusi gli incidenti, ndr) e quelli dei controlli disegnati per prevenirli.
A questo punto, la maggior parte degli interlocutori reattivi si ferma a questa definizione e cercherà, un po’ per pigrizia, un po’ per saccenza, di controbattere questa definizione, etichettandola come eccessivamente complessa e poco applicabile in pratica.
A dire la verità l’interlocutore non ha tutti i torti in quanto, specie se ci si affida alla letteratura scienifica, il calcolo del ROSI può risultare estremamente complesso e di difficile attuazione. E di letteratura ce n’è molta.
Alcune formule di computo pratico del ROSI possono risultare anche interessanti, ma quello che manca è uno strumento valido di rappresentazione del problema. Se il concetto (finanche corretto) del ROSI fatica a essere assimilato dalla comunità dei clienti finali, riteniamo maggiormente di interesse introdurne uno apparentemente derivato, che consiste nella valutazione e descrizione di un fattore spesso in secondo piano: il Costo del non investimento (CONI). Per Costo del non investimento, si intende un valore, risultato di un’analisi di rischio di tipo misto, propedeutico alla giustificazione dell’investimento in sicurezza informatica.
Il passaggio in più, rispetto a una valutazione convenzionale del ROSI è la descrizione accurata del costo rapportata al valore dell’asset e al danno che si subirebbe in caso di non applicazione dello strumento di sicurezza. CONI e ROSI, quindi, diventano due paradigmi che lavorano insieme in maniera simbiotica, all’interno di un framework.
