Secondo un recente studio condotto dagli analisti di PricewaterhouseCoopers, le PMI spendono quasi il 15% del loro budget IT in materia di sicurezza mentre le grandi aziende spendono solo l’11%.
Si tratta di dati significativi perché, prima di tutto, sottolineano un aumento degli investimenti in security, rispetto a qualche anno fa, il che non è banale. In secondo luogo, confermano come siano piuttoto le piccole e medie imprese costrette ad affrontare costi superiori a supporto della protezione e della business continuity aziendale, non avendo sufficienti risorse interne per gestire le problematiche legate alla sicurezza e alla compliance.
In ogni caso, un minimo di budget per la sicurezza ogni azienda lo deve comunque stanziare. Dunque la domanda fondamentale è la seguente: quali sono le scelte migliori per spenderlo?
Come spendere al meglio il budget allocato per la sicurezza?
Per bilanciare gli investimenti, infatti, come ogni manager anche i CISO devono fare i conti con un tetto di spesa che deve essere massimamente ottimizzato, per garantire un rapporto prezzo/prestazioni adeguato.
La questione, infatti, è che i budget rappresentano il driver principale su cui orientare lo sviluppo ma sono anche una bella sfida. Qualsiasi sia la motivazione di investimento, infatti, il tetto di spesa stanziato va usato tutto, altrimenti l’anno successivo sarà rivisto al ribasso (con il rischio di perdere risorse che invece potrebbero essere fondamentali). In generale gli esperti sottolineano come ci sia un aumento della spesa legata alla sicurezza informatica: questa è una buona notizia, anche se ci sono molti modi diversi per finalizzare un aumento del bilancio, tra cui l’assunzione di più personale o l‘acquisizione di strumenti anche di altissimo livello. La domanda fondamentale è la seguente: di che cosa ha davvero bisogno un’azienda che vuole potenziare la sicurezza? Quali sono i parametri da considerare?
1) Il Total Cost of Ownership (TCO), ovvero ciò che dà senso all’investimento, rimane al primo posto. Serve sempre e comunque come criterio utile a stabilire il giusto bilanciamento tra investimenti necessari a supportare le risorse in termini di personale e in termini di tecnologia, fissa e mobile.
2) Il Costo totale della tecnologia (TCT – Total Cost of Technology) è un parametro strategico per implementare, monitorare e avere un riscontro adeguato rispetto allo stato della sicurezza delle informazioni. Spesso il costo iniziale non tiene conto dei costi successivi associati al fine tuning, ai servizi e alla gestione nel medio e nel lungo termine. Con il risultato di alleggerire le casse aziendali.
3) Il Costo totale del rischio (TCR – Total Cost of Risk), invece, è importante per effettuare una stima dei costi e razionalizzare (senza disperdere) risorse, processi e tecnologie a supporto dell’impresa. I danni alla sicurezza hanno un costo elevato. Monetizzare i rischi aiuta a capire quali sono le politiche di sicurezza prioritarie e quali no. È necessario dunque calcolare vari margini di rischio associati alla compliance, alla sicurezza, all’indadempimento normativo, ai danni di immagine che offuscano la brand awareness.
4) Il Costo totale di manutenzione (TCM – Total Cost of Maintenance) è quello associato al programma di sicurezza delle informazioni, e coinvolge persone, competenze ma anche i livelli di flessibilità, di scalabilità e di completezza dei sistemi distribuiti.
In sintesi, il TCO della sicurezza è il risultato di un mix tra TCT, TCR e TCM. È difficile calcolare un TCO realistico, infatti, in quanto ciò che è meglio per una organizzazione non è detto sia meglio per un’altra. Quando si valuta l’approccio migliore per spendere al meglio il budget allocato alla sicurezza bisogna avere molta lucidità, ma anche molta competenza.