In un contesto dove la cybersecurity è spesso percepita come un mero costo o un obbligo normativo, emerge la necessità di superare la metrica tradizionale del Ritorno sull'Investimento (ROI).
Il ROI, focalizzato sulla generazione di profitti, mal si adatta a un ambito la cui funzione primaria non è creare nuovi ricavi, ma proteggere il valore esistente prevenendo perdite. La vera sfida è quantificare il valore di un evento negativo che non si è verificato.
La risposta a questa esigenza è il Return on Security Investment (ROSI), una metrica progettata specificamente per la cybersecurity. Il ROSI misura l'efficacia di un investimento in sicurezza confrontando la riduzione delle perdite potenziali con il costo dell'investimento stesso. Adottare il ROSI significa passare a un modello finanziario basato sul rischio, che richiede una valutazione quantitativa per comunicare efficacemente il valore delle soluzioni di sicurezza.
Il calcolo del ROSI si fonda sulla stima della perdita evitata. La formula più comune si basa sulla riduzione dell'Annualized Loss Expectancy (ALE), ovvero la perdita finanziaria annua attesa per una specifica minaccia:
Nello specifico:
L'Annualized Loss Expectancy (ALE) si calcola moltiplicando due fattori chiave:
L'impatto finanziario di un singolo incidente informatico (Single Loss Expectancy - SLE) è il prodotto del valore dell'asset (AV) e del fattore di esposizione (EF), che rappresenta la percentuale di valore persa.
È fondamentale quantificare sia le perdite dirette (costi di ripristino, multe, spese legali, notifiche) sia le perdite indirette, spesso più onerose e difficili da stimare (danno reputazionale, perdita di clienti, interruzione del business, furto di proprietà intellettuale).
Un elemento cruciale delle perdite indirette è il downtime, la cui durata può essere stimata basandosi su statistiche di settore (es. 22 giorni in media per un attacco ransomware).
Il ROSI gioca un ruolo cruciale nel processo decisionale strategico. Permette ai dirigenti di confrontare diverse proposte di investimento in sicurezza e di scegliere le soluzioni che offrono il maggior beneficio potenziale. Questo aiuta a spostare la percezione della cybersecurity da un mero centro di costo a una funzione che protegge attivamente i ricavi e il valore aziendale.
Per un calcolo credibile del ROSI, è indispensabile una valutazione quantitativa del rischio, che assegna valori monetari alle minacce, a differenza di quella qualitativa (es. alto, medio, basso) che è troppo soggettiva. Questa analisi deve considerare sia le minacce interne (errori umani, dipendenti malintenzionati) sia quelle esterne (malware, phishing, DDoS), utilizzando dati aggiornati.
Per migliorare il ROSI, sono cruciali piani di gestione degli incidenti e servizi avanzati come il Managed Detection and Response (MDR).
Integrando queste misure nel calcolo, e considerando anche le multe per la non conformità evitate, il ROSI dimostra in modo tangibile come la cybersecurity protegga il valore aziendale, guidando i leader a prendere decisioni di investimento informate e strategiche.
La gestione strategica degli incidenti è cruciale per ridurre l'impatto finanziario (SLE) e migliorare il ROSI. La preparazione è fondamentale e si basa su tre piani:
Vale la pena ricordare che questi tre piani sono distinti ma strettamente interconnessi e lavorano in sinergia. Ad esempio, il Business Continuity Plan ha una visione più ampia e spesso incorpora o si coordina con gli altri due piani.
Per una risposta efficace agli incidenti, è essenziale disporre di un Incident Response Team (IRT) attivo in qualsiasi momento della giornata, inclusi i festivi e le ore notturne. L’IRT è un gruppo specializzato composto da professionisti della sicurezza informatica, analisti, tecnici di rete e, quando necessario, rappresentanti legali e della comunicazione. Il loro compito è analizzare, contenere e risolvere rapidamente qualsiasi tipo di incidente, minimizzando tempi di inattività e danni.
La sua efficacia dipende da una formazione continua, test regolari o simulazioni di attacchi (es. red team/blue team), per valutare la prontezza operativa. Le revisioni post-evento completano il ciclo, permettendo di analizzare criticamente le risposte fornite, identificare le aree di miglioramento e aggiornare le procedure.
Questo miglioramento costante è fondamentale per ridurre l’impatto finanziario degli incidenti (Single Loss Expectancy - SLE), massimizzare il ritorno sugli investimenti in sicurezza (Return on Security Investment - ROSI) ed essere pienamente compliant alle normative vigenti in materia di protezione dei dati e sicurezza informatica.
L’attuale quadro normativo europeo, difatti, con direttive come NIS2, DORA e il Cyber Resilience Act (CRA), impone requisiti stringenti su gestione del rischio, risposta agli incidenti e resilienza. La non conformità comporta sanzioni pecuniarie elevate, che diventano un costo diretto da inserire nel calcolo dello SLE. Pertanto, gli investimenti necessari per adeguarsi a queste normative possono essere giustificati tramite il ROSI, dove la "perdita evitata" include anche le multe e le sanzioni evitate.
L'MDR rappresenta una vera e propria rivoluzione rispetto agli strumenti di prevenzione o monitoraggio di base, offrendo un servizio proattivo e orientato alla risposta che combina tecnologia avanzata con competenze umane cruciali disponibili 24/7, riducendo l'impatto degli attacchi (SLE) e aiutando a soddisfare i requisiti normativi europei (NIS2, DORA, CRA).
Il servizio MDR mette al centro il cliente con i suoi processi di cybersecurity, che ovviamente sono i suoi e sicuramente diversi da quelli di un’altra realtà. Approccia la cybersecurity in tutte le sue fasi, dalla detection alla remediation passando per le analisi approfondite.
L'approccio MDR è unico perché mette il processo di sicurezza al centro, coinvolgendo attivamente il cliente. Invece di gestire singoli eventi, orchestra la remediation su tutta la superficie d'attacco. Questo garantisce una visibilità completa e azioni di mitigazione che tengono conto del contesto specifico della minaccia e delle esigenze del cliente, semplificando notevolmente il raggiungimento degli obiettivi normativi.
Il servizio MDR (Managed Detection and Response) non sostituisce i piani di risposta agli incidenti (IRP), continuità operativa (BCP) o disaster recovery (DRP), ma ne aumenta l’efficacia in modo significativo. Questi piani definiscono cosa fare in caso di incidenti o interruzioni, ma per essere realmente utili, richiedono risorse specifiche: monitoraggio costante, personale esperto, strumenti avanzati per rilevare e rispondere rapidamente alle minacce.
L’MDR fornisce proprio queste risorse sotto forma di servizio: monitoraggio 24/7, analisti qualificati e capacità di risposta immediata. In questo modo, supporta direttamente l'esecuzione degli IRP intervenendo nelle fasi critiche di rilevamento, analisi e contenimento degli incidenti.
Riducendo la gravità e la durata degli attacchi (quindi lo SLE – Single Loss Expectancy), l’MDR permette di attivare i piani di continuità operativa e ripristino solo quando è davvero necessario, e spesso in modo più contenuto. Questo porta a una maggiore resilienza operativa e migliora il ROSI con un ritorno concreto dagli investimenti in sicurezza, grazie a una riduzione misurabile del rischio e dei danni potenziali.
Per concludere, possiamo affermare con fermezza che calcolare il ROSI permette alle aziende di valutare in modo concreto l’efficacia degli investimenti in cybersecurity, trasformando la sicurezza da costo percepito a leva strategica.
In un contesto normativo sempre più stringente e minacce in continua evoluzione, misurare il ritorno sugli investimenti di sicurezza non è solo utile, ma essenziale per guidare i leader a prendere decisioni di investimento informate e strategiche.
Di Luca Benatti - Head of Business Development Manager, CYBEROO