Magic Quadrant™ per la gestione degli accessi privilegiati 2025: Netwrix riconosciuta per il quarto anno consecutivo. Scarica il report.

ContattaciSupportoCommunity
English Español Italiano Français Deutsch Português
Piattaforma
Soluzioni

Data Security Posture Management

Scopri e classifica i dati in ambienti ibridi. Valuta, dai priorità e mitiga i rischi per i dati sensibili.

Directory Management

Semplifica e proteggi l'amministrazione delle directory riducendo complessità, rischio e sforzo manuale.

Endpoint Management

Proteggi gli endpoint e previeni la perdita di dati mantenendo produttivi i team, indipendentemente da dove lavorano.

Identity Management

Proteggi ogni identità, semplifica ogni processo e mantieniti in anticipo sulla conformità — senza aggiungere complessità.

Identity Threat Detection & Response

Rimani un passo avanti alle minacce basate sull'identità — rimedia proattivamente ai rischi, blocca gli attacchi e assicura un recupero rapido.

Privileged Access Management

Riduci la superficie di attacco eliminando i privilegi permanenti, bloccando le credenziali e monitorando le sessioni privilegiate.
Prodotti in evidenza Vedi tutti i prodotti
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La piattaforma Netwrix 1Secure™

Esplora
Netwrix AI Ambienti che proteggiamo Integrazioni MSPs Rischi per la sicurezza di Active Directory Conformità Prezzi
Centro Risorse Vedi tutto
BlogCatalogo degli AttacchiConformitàStorie dei clientiFramework di cybersecurityGlossario di CybersecurityEventiFreewareGuideIdeas PortalNotiziePodcastPubblicazioniAnnunci dei ProdottiRicercaWebinar
Asset not found

Storia di successo in primo piano

DXC Technology consente ai clienti di ottenere la conformità PCI DSS e di concentrarsi su iniziative strategiche
Partner
Partner ProgramDiventa un PartnerMSPsTrova partnerWebinar
Asset not found

Storia in primo piano di un cliente

AppRiver migliora il controllo su Active Directory riducendo notevolmente il tempo di auditing
Asset not found

Storia in primo piano di un cliente

MSP aiuta il cliente a riprendersi dal ransomware in 6 ore
Perché Netwrix
Chi siamoLeadershipNetwrix AICasi di successoRiconoscimentiNotizieLavora con noi
Asset not found

Storia in primo piano di un cliente

Horizon Leisure Centres accelera la classificazione dei dati per conformarsi al GDPR e risparmia £80.000 all’anno
Asset not found

Storia in primo piano di un cliente

Samsung R&D Institute protegge i dati con l'utilizzo multipiattaforma e il rapido dispiegamento su macOS usando Netwrix Endpoint Protector
Centro risorseBlog
Come calcolare il ritorno sull'investimento in sicurezza

Come calcolare il ritorno sull'investimento in sicurezza

Aug 7, 2018

Il Return on Security Investment (ROSI) quantifica quanto perdite un'organizzazione evita attraverso la spesa per la cybersecurity, rendendo possibile giustificare i budget e valutare l'efficacia della strategia. Utilizzando l'analisi del rischio quantitativa, il ROSI include nella sua stima l'aspettativa di perdita annualizzata, la frequenza delle minacce, il costo di un singolo incidente e il rapporto di mitigazione per stimare i risparmi. Valutazioni del rischio accurate, considerazioni sulla conformità e la prontezza organizzativa migliorano tutti i calcoli e aiutano a dare priorità agli investimenti.

Durante la mia carriera ventennale nel settore IT, ho partecipato a progetti da molteplici prospettive. Sono stato un utente finale e un consulente; ho gestito la tecnologia e l'ho venduta. Ma in tutto questo, c'è stata una sfida costante: Come valutare il ritorno sull'investimento per una tecnologia che si fornisce o si consuma.

Il mio percorso mi ha portato alla sicurezza informatica e spesso sento affermazioni come: “È difficile misurare l'efficacia degli investimenti in sicurezza. È come un'assicurazione: sai che ne hai bisogno, ma non puoi quantificarne il valore.” Tuttavia, questo atteggiamento non è accettabile se vuoi essere un IT manager efficace. Hai assolutamente bisogno di un metodo per calcolare con precisione il tuo ritorno sull'investimento in sicurezza (ROSI), in modo da poter valutare se la tua strategia di cyber security sta raggiungendo gli obiettivi del tuo dipartimento e della tua organizzazione e, se necessario, argomentare a favore di un budget aggiuntivo. In questo post del blog, descrivo come calcolare il ROSI.

Classico ritorno sull'investimento

Il ritorno sull'investimento (ROI) è un rapporto di redditività per un investimento specifico. Ti aiuta a determinare se dovresti effettuare un acquisto o meno, o come un determinato investimento si è comportato fino ad oggi.

Il modo più semplice per calcolare il ROI è quantificare una sorta di “ritorno” o “beneficio” e dividerlo per l'“investimento” o “costo”:

Image

Calcolo del ROI

Perché il classico ROI non funziona per il ritorno sull'investimento in sicurezza

Questa equazione del ROI funziona solo per investimenti che producono risultati positivi, come il risparmio sui costi o il miglioramento dei ricavi. Ma cos'è un investimento in sicurezza? Questo tipo di investimento non aumenta direttamente i ricavi né offre un ritorno immediato; piuttosto, gli investimenti in sicurezza riguardano la gestione del rischio che si traduce nella prevenzione delle perdite e nella mitigazione del rischio. Pertanto, un calcolo del ROSI dovrebbe indicare quanto perdite l'organizzazione potrebbe evitare grazie all'investimento in sicurezza, quindi abbiamo bisogno di una formula diversa.

Scegliere le metriche giuste per ROSI

Prima di approfondire come calcolare il ROSI, è importante assicurarsi che il processo sia pratico e fornisca risultati affidabili e attuabili. È essenziale assicurarsi che le tue metriche siano:

  • Facile da raccogliere su base regolare. Se raccogliere i dati necessari richiede molto tempo o denaro, il calcolo del ROSI diventerà molto rapidamente un onere e supererà qualsiasi beneficio percepito.
  • Rilevante per la tua azienda e i rischi che affronta.
  • Abbastanza accurato. Poiché stai stimando le minacce che potrebbero colpire la tua azienda, i tuoi calcoli non saranno accurati al 100%. Accetta questo e fai del tuo meglio.

Calcolo del ROSI — la formula di analisi quantitativa del rischio

L'Istituto SANS offre una quantitative risk analysis formula per stimare il ROSI che è stata ampiamente adottata. A differenza delle semplici formule di ROI, si basa sulla tua valutazione dei rischi specifici che un dato investimento di sicurezza intende affrontare. Pertanto, è necessario comprendere chiaramente l'esposizione al rischio di sicurezza e stimare il valore di ciascun bene che l'investimento di sicurezza mira a proteggere. Ecco la formula:

Image

Formula di analisi del rischio quantitativa per il calcolo del ROSI

Scopriamo come calcolare ciascuno dei componenti in questa formula.

Aspettativa di perdita annualizzata (ALE)

L'aspettativa di perdita annualizzata (ALE) è la perdita monetaria totale annuale prevista per anno a seguito di un fattore di esposizione specifico se l'investimento in sicurezza non viene effettuato. Per calcolare l'ALE, moltiplichiamo l'aspettativa di perdita singola (SLE) per il tasso di occorrenza annualizzato (ARO):

Image

Calcolo dell'ALE

Ecco i due componenti della formula ALE:

  • La Single loss expectancy (SLE) è l'ammontare di denaro che verrà perso in un singolo incidente di sicurezza. Per stimare la SLE, è necessario inventariare i dati e le altre risorse IT e sommare i costi diretti (ad esempio, indagini tecniche e sanzioni legali) e i costi indiretti (ad esempio, fermo operativo aziendale e aumento del tasso di abbandono dei clienti) derivanti dal danno o dalla perdita di tali risorse. ­
  • Il tasso annualizzato di occorrenza (ARO) è la frequenza stimata o l'aspettativa che una minaccia colpisca entro un anno. Si tratta di un numero diretto che si può dedurre dai record storici. Ad esempio, se una certa minaccia ha colpito la tua organizzazione solo una volta negli ultimi 10 anni, ha un ARO di 0,1; se una minaccia si verifica circa 10 volte ogni anno, ha un ARO di 10.

Rapporto di mitigazione

Il rapporto di mitigazione è la percentuale di rischi che l'investimento per la sicurezza affronterebbe.

Secondo Sonnenreich, Albanese e Stout — alcuni dei primi ricercatori ad affrontare il problema di quantificare il valore dei controlli di sicurezza — va bene se il tuo rapporto di mitigazione del rischio è approssimativo. Il miglior approccio è valutare il numero previsto di rischi mitigati basandosi su un algoritmo di punteggio che scegli personalmente. Anche se i dati per il modello ROSI sono inaccurati, utilizzare questo algoritmo in modo ripetibile e coerente ti permetterà di confrontare il valore relativo di diversi investimenti nella sicurezza.

Esempio

Stimiamo l'ALE e il rapporto di mitigazione per uno scenario fittizio e usiamoli per calcolare il ROSI per un investimento di sicurezza proposto.

Supponiamo che tu sappia che i tuoi server di file hanno cartelle condivise contenenti file con informazioni sensibili accessibili a tutti nella tua azienda. Sei consapevole che questa eccessiva esposizione dei dati aumenta il rischio di compromissione e perdita dei dati, ma non conosci il numero esatto o la posizione delle cartelle. Per ridurre questo rischio, la tua azienda sta considerando di investire in una soluzione per la scoperta di dati sensibili. Per determinare se questo investimento è giustificato, devi fare i conti.

Prevedete che se non avrete la soluzione, avrete una media di 10 incidenti di sicurezza all'anno (ARO = 10). Ogni incidente potrebbe portare a una violazione che costa circa $40,000 in perdita di dati, multe, produttività persa e affari persi (SLE = 40,000). Pertanto, l'ALE è 400,000.

La soluzione proposta per la scoperta dei dati dovrebbe mitigare questo rischio del 94% (tasso di mitigazione = 94%). Il costo stimato per l'acquisto e la gestione della soluzione è di $60,000.

Quindi puoi calcolare l'utilizzo della formula ROSI di cui sopra come segue:

Image

Esempio di calcolo ROSI

Utilizzando questo calcolo, si può sostenere che questo investimento farà risparmiare all'azienda circa $316,000 ($400,000 * 0.94 – $60,000), per un ritorno del 526%.

Puoi anche utilizzare questa formula per valutare il ROSI di un investimento esistente. Assicurati solo di condurre una valutazione del rischio accurata e di comprendere l'esposizione al rischio della tua azienda.

Modificare la formula ROSI con metriche aggiuntive

È possibile modificare la formula dell'analisi del rischio quantitativo includendo criteri aggiuntivi specifici per il settore o semplicemente più importanti per la propria organizzazione. Ecco alcuni esempi:

  • Profilo di rischio rispetto ai concorrenti del settore — Confrontare il proprio budget di sicurezza e l'esecuzione con i concorrenti nel proprio settore può essere molto utile. La ricerca specifica per settore vi aiuterà a identificare le migliori pratiche quantitative, a scoprire quali minacce i vostri concorrenti incontrano e come le affrontano, e a vedere dei punti di riferimento per orientarvi. Consiglio di iniziare con le ricerche condotte da Gartner.
  • Stato di conformità — Se la tua azienda è soggetta a una nuova norma di conformità o desidera migliorare la sua aderenza a una già esistente, dovresti includere lo stato di conformità come fattore nella valutazione degli investimenti in sicurezza. Puoi raccogliere questi dati conducendo regolari audit interni per verificare se i tuoi processi sono in linea con i framework di sicurezza imposti dalla norma, controllando i tuoi risultati negli audit recenti e determinando quali aree necessitano di essere migliorate.
  • Prontezza organizzativa per affrontare gli incidenti — Ho scritto riguardo le simulazioni di sicurezza (“war-gaming”) in un altro post del blog. Si dividono i professionisti della sicurezza in due gruppi: un team attacca l'infrastruttura e l'altro la difende. Conducendo questi giochi ogni tanto, sarete in grado di monitorare le prestazioni dei membri del vostro team durante l'attacco, testare l'efficacia del vostro programma di sicurezza e degli investimenti, e confrontare i risultati ottenuti con i giochi precedenti. Ad esempio, potete osservare quanto tempo il team ha impiegato per rilevare e rispondere all'attacco e quali individui hanno avuto prestazioni migliori e chi necessita di ulteriore formazione.

Conclusione

Dedicare tempo al calcolo del ROSI prima di effettuare investimenti e calcolarlo regolarmente per quelli esistenti può offrire più vantaggi di quanti se ne possano immaginare. Calcolato accuratamente, il ROSI fornirà i dati azionabili e affidabili di cui hai bisogno per capire se i tuoi sforzi supportano effettivamente la tua strategia di sicurezza IT e riducono i rischi cyber, determinare se la tua attuale spesa per la sicurezza è giustificata, adeguare il tuo budget redistribuendo le risorse verso le questioni prioritarie, o richiedere investimenti aggiuntivi.

Condividi su

Scopri di più

Informazioni sull'autore

Asset Not Found

Dirk Schrader

VP della Ricerca sulla Sicurezza

Dirk Schrader è un Resident CISO (EMEA) e VP of Security Research presso Netwrix. Con 25 anni di esperienza nella sicurezza informatica e certificazioni come CISSP (ISC²) e CISM (ISACA), lavora per promuovere la cyber resilience come approccio moderno per affrontare le minacce informatiche. Dirk ha lavorato a progetti di cybersecurity in tutto il mondo, iniziando con ruoli tecnici e di supporto all'inizio della sua carriera per poi passare a posizioni di vendita, marketing e gestione prodotti sia in grandi multinazionali che in piccole startup. Ha pubblicato numerosi articoli sull'esigenza di affrontare la gestione dei cambiamenti e delle vulnerabilità per raggiungere la cyber resilience.

Scopri di più su questo argomento

Leggi sulla Privacy dei Dati per Stato: Diversi Approcci alla Protezione della Privacy

Esempio di Analisi del Rischio: Come Valutare i Rischi

Il Triangolo CIA e la sua applicazione nel mondo reale

Cos'è la gestione dei documenti elettronici?

Analisi quantitativa del rischio: Aspettativa di perdita annuale

Ultimi blog

I prossimi cinque minuti di conformità: costruire la Data Security That Starts with Identity in tutto l'APAC

Gestione della configurazione per il controllo sicuro degli endpoint

Classificazione dei dati e DLP: Prevenire la perdita di dati, dimostrare la conformità

Conformità CMMC e il ruolo critico del controllo USB in stile MDM nella protezione del CUI

DSPM, ASM e ITDR: Costruire una strategia di sicurezza guidata dai dati e consapevole delle esposizioni

Dal rumore all'azione: trasformare il rischio dei dati in risultati misurabili

L'intelligenza artificiale sul lavoro: Velocità, Rischio e Perché la Semplicità Vince

Leggi sulla Privacy dei Dati per Stato: Diversi Approcci alla Protezione della Privacy

Esempio di Analisi del Rischio: Come Valutare i Rischi

Il Triangolo CIA e la sua applicazione nel mondo reale

I nostri articoli principali

Tipi comuni di dispositivi di rete e le loro funzioni

Come eseguire uno script PowerShell da Task Scheduler

Come installare e utilizzare Active Directory Users and Computers (ADUC)?

Scarica e installa PowerShell 7

Gli attacchi informatici più grandi e noti della storia

Comandi PowerShell essenziali: una guida rapida per principianti

Panoramica dell'attacco informatico MGM

Estrazione degli hash delle password dal file Ntds.dit

Guida al montaggio di condivisioni Unix con un client NFS Windows

Come le porte aperte insicure e vulnerabili rappresentano seri rischi per la sicurezza