AO_422

MAGGIO 2020 AUTOMAZIONE OGGI 422 79 AO • PUBBLIREDAZIONALE • È possibile misurare la redditività dell’investimento in cybersecurity? Come evidenzia la nona edizione dell’Allianz Risk Barometer 2020, il rischio informatico è percepito come grave dal 49% delle aziende italiane (in crescita rispetto al 38% del 2019). Que- sta accresciuta consapevolezza ha dato luogo a un progressivo incremento dei fondi assegnati ai dipartimenti IT. Tuttavia, nonostante in molti sottolineino il ruolo fondamentale della cyber-resilienza nelle aziende, sono numerosi i responsabili della sicurezza che lamentano di dover giustificare costante- mente il costo della security, pena una revisione del budget al ribasso. Nella ricerca di argomenti a favore della spesa in dop- pie linee di difesa e soluzioni diversificate per tipologia di infrastruttura o dato da proteg- gere, si predilige parlare di quanti x milioni di euro di perdite sono stati evitati, piuttosto che affermare che y milioni di euro sono stati guadagnati grazie a tali strumenti. Come nelle assicurazioni, si evidenzia ciò che non è successo, ricorrendo a esempi di aziende fortemente danneggiate da attac- chi, o a statistiche, come quelle del Ponemon Institute che identifica in una forbice tra i 42 i 388 milioni di dollari l’impatto finanziario medio a seconda del quantitativo di dati (re- cord) coinvolti in una grave violazione. Perdite a cui vanno ag- giunte eventuali sanzioni ex lege e i danni indiretti, arrecati ad esempio all’immagine del marchio. Ad aumentare la comples- sità di tali valutazioni concorre il fatto che ancora mancano dati affidabili e sufficientemente esaustivi per stabilire modelli di calcolo solidi. Quello che vediamo è solo la punta dell’iceberg: ad eccezione di aziende con cifre d’affari esorbitanti, che prima o poi finiscono sulle prime pagine dei quotidiani, la stragrande maggioranza delle organizzazioni è infatti ancora riluttante nel comunicare tipologia ed entità degli attacchi subiti. Una zona grigia che complica l’esercizio delle proiezioni numeriche. L’approccio tradizionale Basata principalmente su proiezioni, l’analisi dei rischi tradizio- nale consta di un’elencazione e qualificazione di ogni tipo di attacco in base al suo impatto, allo scopo di associarvi un costo. Impostata questa metrica, è possibile definire un piano per la riduzione dei rischi (antivirus, firewall, cifratura, misure di incre- mento della consapevolezza in azienda ecc.) quantificabile. L’a- nalisi in termini di ROI può quindi essere effettuata sottraendo la somma da investire dalle perdite previste. Ora, in una logica di controllo, diventa fondamentale misurare l’efficacia delle mi- sure adottate. E qui sorge un’altra difficoltà: se metto in atto una soluzione per rilevare un incidente, ma non succede nulla, è perché non c’è stato alcun incidente o perché la mia soluzione è efficace? Una risposta può provenire dalla conduzione di test di penetrazione, utilissimi, ma anch’essi non fanno guadagnare soldi all’azienda nel senso stretto del termine. Un salto di qualità In tutto questo, solo di rado si considerano variabili differenti dall’impatto economico e infrastrutturale di un attacco. Eppure, le soluzioni di sicurezza informatica sono dotate di funzioni che vanno oltre la mera identificazione di eventuali minacce. Tramite il firewall UTM/IPS è pos- sibile gestire la banda disponibile per le applicazioni critiche (QoS) e calibrare l’uso di più gateway verso l’esterno, garantendo una migliore connettività per le attività più importanti. Funzioni VPN SSL o IPsec, la gestione temporizzata degli accessi da remoto e l’imple- mentazione di modelli ‘zero trust’ contribuiscono altresì ampiamente alla manutenzione remota o allo smart working in sicurezza, fa- vorendo l’aumento della produttività anche in ambiti che in precedenza richiedevano una presenza in loco. Non mancano esempi di aziende che, grazie alle misure di cybersecurity adot- tate, hanno persino approntato servizi digitali aggiuntivi a tutto beneficio della clientela, valorizzando l’investimento in cyber- security, così trasformato in opportunità e criterio di differen- ziazione dalla concorrenza. Proprio per questo è evidente che oggi, come mai prima, occorra un cambiamento di paradigma, che consenta di passare da un’analisi strettamente monetaria a un’analisi della redditività della security che includa il fattore qualitativo dell’investimento. Stormshield - www.stormshield.com Di fronte a minacce che, specie in ambito industriale, molti considerano ipotetiche, come si può giustificare una spesa che non lo è? Ma soprattutto, è possibile passare da un paradigma ‘evita-costi’ a modelli che valorizzino gli investimenti? Foto tratta da shutterstock.com, fornita su licenza Stormshield