ROI: Consigli degli esperti per giustificare gli investimenti nella sicurezza

Le sfide del ROI nella sicurezza IT

Negli ultimi mesi, ho avuto una serie di conversazioni riguardo alla necessità di giustificare la spesa per la sicurezza. Quest'anno è stato difficile per molte organizzazioni, quindi i budget IT generalmente non stanno crescendo. Inoltre, i fondi già allocati spesso hanno dovuto essere riprioritizzati per soddisfare le mutevoli esigenze aziendali. Allo stesso tempo, dirigenti e membri del consiglio di amministrazione sono diventati dolorosamente consapevoli dei rischi informatici odierni e del costo di non prestare attenzione. Si aspettano che il team IT e i leader della sicurezza informatica forniscano punti dati solidi che consentano le decisioni di investimento in sicurezza più efficaci.

Ecco dove molte aziende con cui parlo si imbattono in un ostacolo inaspettato. Per decenni, l'IT (e la sicurezza IT) è stata trattata come una disciplina puramente tecnica, e i migliori professionisti tecnici sono stati promossi a posizioni di leadership IT. Possono guidarti attraverso qualsiasi sofisticata questione tecnologica, ma non tutti parlano la lingua del “business”. Questo rende difficile per entrambe le parti della conversazione arrivare a decisioni produttive.

Un'altra sfida per molti leader IT è la mancanza di dati fattuali su cui fare affidamento. Nel campo della tecnologia, si lavora con fatti e si hanno misurazioni precise e difendibili. Ad esempio, è possibile riferire sul numero di incidenti in un determinato periodo di tempo, o sul tempo necessario per correggere un server vulnerabile. Ma come si fa a dimostrare il ritorno atteso su un investimento di sicurezza senza entrare nel regno delle ipotesi e delle probabilità? Questo spinge molti professionisti IT, me incluso, fuori dalla loro zona di comfort.

Utilizziamo queste intuizioni come un'opportunità per vedere cosa c'è là fuori.

I quattro pilastri del ROI

Quando ho l'opportunità di parlare di investimenti nella sicurezza, sia in persone, processi o tecnologia, cerco sempre di fare una domanda: Come pensi che questo possa ripagare? Le risposte variano notevolmente, ma possono essere distillate in una o più di queste quattro categorie:

• Questo investimento ci farà risparmiare denaro riducendo i costi continuativi.
• Questo investimento ci aiuterà a rispettare gli obblighi contrattuali o le normative del settore o del governo.
• Questo investimento ridurrà i rischi aziendali (riducendo la probabilità, l'impatto o entrambi).
• Questo investimento ci consentirà di perseguire nuove opportunità commerciali.

Tutti e quattro gli elementi sembrano essere buoni motivi per investire. Ma dove si inserisce ciascuno di questi nel discorso, e come si mette tutto insieme? Analizziamo ogni elemento a turno.

Risparmio sui costi operativi

Il risparmio sui costi è una delle misure più evidenti del ROI, specialmente quando il CIO o il responsabile IT è anche incaricato della sicurezza. Se un progetto ti permette di ridurre lo spazio di archiviazione, consolidare le licenze o ridurre tempo e sforzo attraverso l'automazione, puoi calcolare i ritorni con una certa sicurezza.

La cautela qui è comprendere che questo non dovrebbe mai essere l'unico motivo per l'investimento. L'obiettivo principale della sicurezza IT è gestire il rischio, e si fa un disservizio a se stessi con qualsiasi progetto che non inizi da lì. Tuttavia, il risparmio sui costi funziona benissimo come motivo aggiuntivo per investire in qualcosa che riduce un rischio che interessa all'azienda.

Conformità

Le organizzazioni sanno che devono rispettare le normative pertinenti semplicemente per continuare a rimanere in attività. Molti team di sicurezza IT sfruttano questo aspetto e presentano nuove iniziative di sicurezza come indispensabili per la conformità. Non è raro sentire un consiglio come “utilizza la conformità per finanziare le tue iniziative di sicurezza” nelle comunità professionali o conferenze.

In generale, è vero che i regolamenti cercano di stabilire linee guida minime per la sicurezza di determinati tipi di dati o attività. Tuttavia, nessun regolamento può fornire un manuale universale per proteggere la tua specifica attività contro le minacce attuali in un particolare momento.

La conformità può essere un modo efficace per iniziare una conversazione sul ROI e attirare l'attenzione in un'organizzazione meno matura dove il team esecutivo è meno consapevole dei rischi reali. Tuttavia, può essere un terreno insidioso: non si dovrebbe mai cedere a un falso senso di sicurezza basato sul completamento di tutti i punti di una lista di controllo per la conformità.

Un'altra insidia da evitare è creare la percezione che il team di sicurezza IT sia un “male necessario” che i dirigenti tollereranno e persino finanzieranno, ma di cui si libererebbero volentieri se potessero.

Non sto assolutamente dicendo che non si dovrebbe parlare di conformità in una conversazione sul budget. Al contrario, si dovrebbe essere consapevoli dei requisiti normativi attuali e previsti per il proprio settore e giurisdizione. Tuttavia, così come per la riduzione dei costi operativi, penso che sarebbe un errore fare troppo affidamento sulla conformità come principale giustificazione per un investimento in sicurezza.

Riduzione del rischio

L'obiettivo principale di qualsiasi organizzazione di sicurezza IT è la gestione e la mitigazione dei rischi. Ma comprendere i rischi può essere complicato: una vulnerabilità appena scoperta rappresenta un rischio per la tua azienda in particolare? Dovresti prestare attenzione alle notizie sui gruppi APT supportati dallo stato come Lazarus?

La chiave è allineare la gestione del rischio di sicurezza IT alla gestione del rischio aziendale generale nella tua organizzazione. Le organizzazioni di difesa o finanziarie di solito hanno una strategia di gestione del rischio matura e consolidata, a volte con un ruolo dedicato di Chief Risk Officer; se la tua organizzazione ha qualcuno in quella posizione, è da lui che vuoi imparare. Ma ogni organizzazione sta costantemente prendendo decisioni sul rischio. Spesso, questa responsabilità ricade sul CFO e sul CEO. Credo che tu debba cercare il loro consiglio per costruire una strategia di gestione del rischio allineata e coerente per l'organizzazione. Non farlo crea lavoro aggiuntivo e può lasciare l'organizzazione esposta a minacce reali che l'IT ha trascurato a causa della mancanza di coinvolgimento aziendale.

Questo ci riporta alla sfida con cui ho iniziato: Come si misura il rischio e il risparmio previsto? Non cercherò nemmeno di spiegarlo tutto in un unico post; ci sono libri lunghi sull'argomento (ecco un buon esempio: “How to Measure Anything in Cybersecurity Risk” di Douglas W. Hubbard e Richard Seiersen).

Dovrete affidarvi al parere degli esperti per stimare il costo o il rischio e il livello di riduzione. Tuttavia, ciò non significa che dobbiate limitarvi a indovinare. Esiste un approccio bidirezionale per evitare le congetture:

• Impara dall'interno. Impara dal processo di gestione del rischio aziendale e cerca di essere coerente con esso. Dovrai stabilire un collegamento con il C-suite per farlo e avrai bisogno del loro contributo sulle perdite stimate.
• Impara dall'esterno. Vedi se c'è un gruppo o forum CISO pertinente che puoi unirti per imparare dall'esperienza di altre aziende. Un'altra buona fonte è la ricerca di settore, come il “Cost of Data Breach Report” del Ponemon Institute, sponsorizzato da IBM.

Non complicare troppo le cose: concordate un approccio e utilizzatelo con costanza. Dopo alcuni trimestri, sarete in grado di vedere (e dimostrare) le tendenze e di apportare le modifiche necessarie.

Opportunità commerciale

Potreste aver sentito discorsi riguardo la “sicurezza come abilitatore di business” in vari eventi di settore negli ultimi anni. La maggior parte delle persone sembra concordare che sia un'ottima idea, ma non molte organizzazioni riescono a mantenere questa promessa.

Come per altri aspetti del ROI, la comunicazione è cruciale in questo caso. Devi costruire connessioni e mantenere i contatti con il team esecutivo e i leader delle unità aziendali. In questo modo, avrai l'opportunità di rendere la sicurezza una parte di ogni nuova discussione di progetto — e un elemento inscindibile del piano di implementazione — fin dall'inizio.

Poiché non sei il proprietario di un nuovo progetto aziendale, non puoi stimare l'entità dei ritorni sull'opportunità complessiva. Tuttavia, non è necessario farlo. Ti consiglio di fare riferimento a queste nuove iniziative nelle tue conversazioni sul ROI, ma senza cercare di fornire numeri specifici.

Punti chiave

Ho iniziato a lavorare a questo post per riassumere le mie conclusioni personali da tutte le conversazioni che ho avuto quest'anno riguardo il ROI nella sicurezza. Ecco la mia lista:

• Utilizza il tuo giudizio e la tua competenza per stimare l'attenuazione del rischio per ogni investimento. Non devi essere preciso; accetta l'imperfezione. Ricorda che l'esperienza nella gestione del rischio probabilmente esiste altrove nella tua azienda — cerca di imparare da quelle persone e di adottare lo stesso approccio. Utilizza gli strumenti e i dati a tua disposizione.
• Impara a parlare il linguaggio degli affari. La sicurezza non è (solo) una questione tecnica. C'è molto da imparare dal CFO o CRO e dal CEO, e puoi utilizzare queste conversazioni per aiutarli a comprendere meglio anche loro. Costruire un programma di gestione del rischio completo che comprenda rischi finanziari, di reputazione e di sicurezza aiuterà la tua azienda a diventare più forte sotto tutti gli aspetti.
• Mantenete aperte le linee di comunicazione con i leader aziendali. L'investimento in sicurezza può (e spesso dovrebbe) essere parte di nuovi progetti e nuove opportunità. Aiutate i leader aziendali a vedere la sicurezza non come un centro di costo, ma come un'iniziativa strategica.
• Sfrutta e bilancia tutti e quattro gli argomenti di ROI. Anche se la riduzione del rischio dovrebbe essere il punto di partenza, considera sempre come la stessa spesa possa aiutare la tua organizzazione a raggiungere la conformità, ridurre i costi operativi e/o supportare opportunità di business.