ROSI (Return on Security Investment): come calcolare il ritorno sugli investimenti di sicurezza

Ascolta l'articolo
9:26

 

In un contesto dove la cybersecurity è spesso percepita come un mero costo o un obbligo normativo, emerge la necessità di superare la metrica tradizionale del Ritorno sull'Investimento (ROI).

Il ROI, focalizzato sulla generazione di profitti, mal si adatta a un ambito la cui funzione primaria non è creare nuovi ricavi, ma proteggere il valore esistente prevenendo perdite. La vera sfida è quantificare il valore di un evento negativo che non si è verificato.

La risposta a questa esigenza è il Return on Security Investment (ROSI), una metrica progettata specificamente per la cybersecurity. Il ROSI misura l'efficacia di un investimento in sicurezza confrontando la riduzione delle perdite potenziali con il costo dell'investimento stesso. Adottare il ROSI significa passare a un modello finanziario basato sul rischio, che richiede una valutazione quantitativa per comunicare efficacemente il valore delle soluzioni di sicurezza.

 

Come calcolare il ROSI

Il calcolo del ROSI si fonda sulla stima della perdita evitata. La formula più comune si basa sulla riduzione dell'Annualized Loss Expectancy (ALE), ovvero la perdita finanziaria annua attesa per una specifica minaccia:

immagine_2025-06-19_152913099

Nello specifico:

  • ALE prima = perdita stimata annua prima della contromisura
  • ALE dopo = perdita stimata annua dopo la contromisura
  • Costo del controllo = spesa annuale per la misura di sicurezza

L'Annualized Loss Expectancy (ALE) si calcola moltiplicando due fattori chiave:

  1. Annual Rate of Occurrence (ARO): la frequenza annua stimata di un incidente, basata su dati storici, threat intelligence e benchmark di settore.
  2. Single Loss Expectancy (SLE): la perdita finanziaria totale stimata per un singolo incidente.

 

Calcolare l'impatto degli incidenti (SLE)

L'impatto finanziario di un singolo incidente informatico (Single Loss Expectancy - SLE) è il prodotto del valore dell'asset (AV) e del fattore di esposizione (EF), che rappresenta la percentuale di valore persa.

image-png-Jun-19-2025-01-49-08-5518-PM

È fondamentale quantificare sia le perdite dirette (costi di ripristino, multe, spese legali, notifiche) sia le perdite indirette, spesso più onerose e difficili da stimare (danno reputazionale, perdita di clienti, interruzione del business, furto di proprietà intellettuale).

Un elemento cruciale delle perdite indirette è il downtime, la cui durata può essere stimata basandosi su statistiche di settore (es. 22 giorni in media per un attacco ransomware).

 

ROSI: perché calcolarlo?

Il ROSI gioca un ruolo cruciale nel processo decisionale strategico. Permette ai dirigenti di confrontare diverse proposte di investimento in sicurezza e di scegliere le soluzioni che offrono il maggior beneficio potenziale. Questo aiuta a spostare la percezione della cybersecurity da un mero centro di costo a una funzione che protegge attivamente i ricavi e il valore aziendale.

Per un calcolo credibile del ROSI, è indispensabile una valutazione quantitativa del rischio, che assegna valori monetari alle minacce, a differenza di quella qualitativa (es. alto, medio, basso) che è troppo soggettiva. Questa analisi deve considerare sia le minacce interne (errori umani, dipendenti malintenzionati) sia quelle esterne (malware, phishing, DDoS), utilizzando dati aggiornati.

 

Come migliorare il ROSI

Per migliorare il ROSI, sono cruciali piani di gestione degli incidenti e servizi avanzati come il Managed Detection and Response (MDR).

Integrando queste misure nel calcolo, e considerando anche le multe per la non conformità evitate, il ROSI dimostra in modo tangibile come la cybersecurity protegga il valore aziendale, guidando i leader a prendere decisioni di investimento informate e strategiche.

 

Piani di gestione degli incidenti

La gestione strategica degli incidenti è cruciale per ridurre l'impatto finanziario (SLE) e migliorare il ROSI. La preparazione è fondamentale e si basa su tre piani:

  • Incident Response Plan (IRP): guida tattica per gestire l'incidente tecnico
  • Business Continuity Plan (BCP): piano strategico per mantenere operative le funzioni aziendali critiche durante un'interruzione
  • Disaster Recovery Plan (DRP): componente tecnica del Business Continuity Plan, focalizzata sul ripristino dell'infrastruttura IT.

Vale la pena ricordare che questi tre piani sono distinti ma strettamente interconnessi e lavorano in sinergia. Ad esempio, il Business Continuity Plan ha una visione più ampia e spesso incorpora o si coordina con gli altri due piani.

 

Rispondere agli incidenti con un team dedicato (IRT)

Per una risposta efficace agli incidenti, è essenziale disporre di un Incident Response Team (IRT) attivo in qualsiasi momento della giornata, inclusi i festivi e le ore notturne. L’IRT è un gruppo specializzato composto da professionisti della sicurezza informatica, analisti, tecnici di rete e, quando necessario, rappresentanti legali e della comunicazione. Il loro compito è analizzare, contenere e risolvere rapidamente qualsiasi tipo di incidente, minimizzando tempi di inattività e danni.

La sua efficacia dipende da una formazione continua, test regolari o simulazioni di attacchi (es. red team/blue team), per valutare la prontezza operativa. Le revisioni post-evento completano il ciclo, permettendo di analizzare criticamente le risposte fornite, identificare le aree di miglioramento e aggiornare le procedure.

Questo miglioramento costante è fondamentale per ridurre l’impatto finanziario degli incidenti (Single Loss Expectancy - SLE), massimizzare il ritorno sugli investimenti in sicurezza (Return on Security Investment - ROSI) ed essere pienamente compliant alle normative vigenti in materia di protezione dei dati e sicurezza informatica.

L’attuale quadro normativo europeo, difatti, con direttive come NIS2, DORA e il Cyber Resilience Act (CRA), impone requisiti stringenti su gestione del rischio, risposta agli incidenti e resilienza. La non conformità comporta sanzioni pecuniarie elevate, che diventano un costo diretto da inserire nel calcolo dello SLE. Pertanto, gli investimenti necessari per adeguarsi a queste normative possono essere giustificati tramite il ROSI, dove la "perdita evitata" include anche le multe e le sanzioni evitate.

 

Servizi di Managed Detection and Response (MDR)

L'MDR rappresenta una vera e propria rivoluzione rispetto agli strumenti di prevenzione o monitoraggio di base, offrendo un servizio proattivo e orientato alla risposta che combina tecnologia avanzata con competenze umane cruciali disponibili 24/7, riducendo l'impatto degli attacchi (SLE) e aiutando a soddisfare i requisiti normativi europei (NIS2, DORA, CRA).

Il servizio MDR mette al centro il cliente con i suoi processi di cybersecurity, che ovviamente sono i suoi e sicuramente diversi da quelli di un’altra realtà. Approccia la cybersecurity in tutte le sue fasi, dalla detection alla remediation passando per le analisi approfondite.

L'approccio MDR è unico perché mette il processo di sicurezza al centro, coinvolgendo attivamente il cliente. Invece di gestire singoli eventi, orchestra la remediation su tutta la superficie d'attacco. Questo garantisce una visibilità completa e azioni di mitigazione che tengono conto del contesto specifico della minaccia e delle esigenze del cliente, semplificando notevolmente il raggiungimento degli obiettivi normativi.

Nuova call-to-action

 

MDR vs piani di gestione di incidenti: quale differenza

Il servizio MDR (Managed Detection and Response) non sostituisce i piani di risposta agli incidenti (IRP), continuità operativa (BCP) o disaster recovery (DRP), ma ne aumenta l’efficacia in modo significativo. Questi piani definiscono cosa fare in caso di incidenti o interruzioni, ma per essere realmente utili, richiedono risorse specifiche: monitoraggio costante, personale esperto, strumenti avanzati per rilevare e rispondere rapidamente alle minacce.

L’MDR fornisce proprio queste risorse sotto forma di servizio: monitoraggio 24/7, analisti qualificati e capacità di risposta immediata. In questo modo, supporta direttamente l'esecuzione degli IRP intervenendo nelle fasi critiche di rilevamento, analisi e contenimento degli incidenti.

Riducendo la gravità e la durata degli attacchi (quindi lo SLE – Single Loss Expectancy), l’MDR permette di attivare i piani di continuità operativa e ripristino solo quando è davvero necessario, e spesso in modo più contenuto. Questo porta a una maggiore resilienza operativa e migliora il ROSI con un ritorno concreto dagli investimenti in sicurezza, grazie a una riduzione misurabile del rischio e dei danni potenziali.

 

ROSI: un calcolo indispensabile

Per concludere, possiamo affermare con fermezza che calcolare il ROSI permette alle aziende di valutare in modo concreto l’efficacia degli investimenti in cybersecurity, trasformando la sicurezza da costo percepito a leva strategica.

In un contesto normativo sempre più stringente e minacce in continua evoluzione, misurare il ritorno sugli investimenti di sicurezza non è solo utile, ma essenziale per guidare i leader a prendere decisioni di investimento informate e strategiche.

Di Luca Benatti - Head of Business Development Manager, CYBEROO

 

Fonti

  • Direttiva NIS2
  • Regolamento DORA Regulation (Digital Operational Resilience Act)
  • Cyber Resilience Act (CRA)
  • NIST (National Institute of Standards and Technology)
  • CISA (Cybersecurity and Infrastructure Security Agency)
Back to Blog