Qualcuno penserà: «Ecco il solito presunto “guru” che affronta l’impossibile tema della stima del costo della Sicurezza!».
Se chi critica pensa alla determinazione di una cifra precisa, ha già sbagliato, perché si può arrivare ad una buona approssimazione (e poi spiego come); a meno che non si parli di costo della insicurezza. In questo caso, visto che proprio domenica 15 luglio è apparso un messaggio di presunti hacker che dichiarano di aver violato il sistema informatico di un noto ospedale romano (accludendo, a dimostrazione, la lista di user e password), teoricamente sappiamo quale potrebbe essere l’ammontare della penale, meno le conseguenze derivanti da possibili azioni ad esempio sulle cartelle mediche, e quindi dalla perdita di riservatezza. Il costo della insicurezza si può stimare con buona approssimazione? A meno di realtà particolari, l’esperienza dice di sì.
La possibile penale non è chiaramente l’unico costo. Un esempio nell’industria. A causa di un blackout informatico (ad es.: malware che blocca la rete) i prodotti, destinati a clienti che generano una contribuzione più elevata di altri, non possono essere consegnati in tempo utile, provocando la possibile perdita di un certo numero di questi clienti. La Direzione Commerciale può stimare il danno, al netto della eventuale copertura assicurativa che copre anche la business interruption (ma non la perdita per sempre del cliente). Se in conseguenza dell’evento si possono ad esempio perdere il 20% dei clienti (e forse i migliori), la Direzione può stimare la conseguente perdita annua.
Torniamo alla domanda sulla verifica se il costo sostenuto per la Sicurezza possa ragionevolmente ritenersi “giusto”.
Innanzitutto, qualche imprenditore può ad esempio rispondere: «Devo farmi valutare o certificare che spendo il “giusto” per qualche ragione? O solo per evitare di incorrere in penali, perdita di clienti importanti, od evitare accuse di negligenza? Il mio CIO si è rivolto ad una nota società specializzata per la sicurezza informatica e stiamo quindi tranquilli». Noi possiamo rispondere che la trasformazione digitale, il cybercrime, la guerra commerciale, e la relativa normativa emanata e continuamente aggiornata per contrastare le nuove minacce, richiedono un nuovo approccio, basato sulla gestione del rischio a livello globale e nuovi modelli organizzativi (pensiamo alla security by design, ad esempio). E, inoltre, il budget affidato al CIO è stato quindi coerente?».
La metodologia c’è (Standard, framework, ecc.). Sul mercato un’ampia e solida esperienza professionale c’è. Anche il benchmarking può aiutare (in parte).
Ma è essenziale (e purtroppo lo continuano a dire tutti coloro che se ne occupano) che vi debba essere la leadership del vertice aziendale.
