|
Pagina 2 di 2
A volte vengono utilizzati metodi tipicamente finanziari, come il calcolo del ROI, ma i risultati non sono sempre confortanti: ad esempio, chi è in grado di quantificare il ritorno sugli investimenti di un antivirus?
Il CFO o direttore finanziario utilizza anche altre figure, come l’NPV (net present value) e l’IRR (internal rate of return) che meglio si confanno a giustificare una richiesta di fondi nella ripartizione periodica del budget.
Ma come chiedere a una figura preminentemente tecnica come il manager IT di vestire per un momento i panni di un ragioniere?Un paio di esempi possono aiutarci a introdurre l'argomento: il security manager di una grande azienda americana (che ha preferito non divulgare il proprio nome) ha sviluppato un programma per misurare i ritorni del sistema anti-intrusione della società, utilizzando anche una lista di costi che si sarebbero dovuti sostenere in caso i tentativi individuati dal sistema fossero diventati dei problemi veri e propri.
I responsabili della sicurezza di Oracle hanno fatto lo stesso quando si sono resi conto che il precedente sistema di Intrusion Detection generava dal 60 al 70% di falsi positivi. Uno dei sistemi in test ne generava molti meno e, quindi, è stato calcolato che il processo di sostituzione (servizi professionali, licenza, costi indotti e di downtime, successivo mantenimento) sarebbe costata molto meno del mantenimento del sistema precedente.
Il tema della dimensione economica della sicurezza si fonda su un paradosso che affascina gli economisti e demoralizza i manager IT: più un investimento in sicurezza è adeguato meno visibili e misurabili sono i suoi risultati.
Il calcolo del ROI non può essere applicato alla perfezione perché spesso il ritorno sugli investimenti in sicurezza è intangibile: è più opportuno quindi focalizzarsi sulle aspettative di perdita.
Un altro svantaggio del ROI è che non tiene conto del valore del denaro nel tempo: il denaro speso oggi vale più del denaro che si riceverà più avanti, per la perdita indotta dal mancato investimento di quella quantità di denaro. Ci viene qui in aiuto il Net Present Value, parametro più utile per considerare il valore di un investimento nel tempo: l'NPV è il risultato della sotrazione tra costi associati all’investimento nel tempo e totale scontato dei risparmi attesi. L'NPV confronta il valore di un euro oggi contro il valore dello stesso euro nel futuro, considerando l'inflazione e il ritorno: normalmente, se l'NPV di un progetto è positivo, ci sono più probabilità che il progetto venga accettato; in caso contrario il progetto può essere rifiutato perchè il cash flow risulta negativo. Articolo orgiginale di Questi dati di fatto confermano la sensazione consolidata che i manager IT e della sicurezza abbiano dei grossi problemi nel giustificare le spese inerenti la sicurezza delle informazioni.
A volte vengono utilizzati metodi tipicamente finanziari, come il calcolo del ROI, ma i risultati non sono sempre confortanti: ad esempio, chi è in grado di quantificare il ritorno sugli investimenti di un antivirus?
Il CFO o direttore finanziario utilizza anche altre figure, come l’NPV (net present value) e l’IRR (internal rate of return) che meglio si confanno a giustificare una richiesta di fondi nella ripartizione periodica del budget.
Ma come chiedere a una figura preminentemente tecnica come il manager IT di vestire per un momento i panni di un ragioniere? Un paio di esempi possono aiutarci a introdurre l'argomento: il security manager di una grande azienda americana (che ha preferito non divulgare il proprio nome) ha sviluppato un programma per misurare i ritorni del sistema anti-intrusione della società, utilizzando anche una lista di costi che si sarebbero dovuti sostenere in caso i tentativi individuati dal sistema fossero diventati dei problemi veri e propri.
I responsabili della sicurezza di Oracle hanno fatto lo stesso quando si sono resi conto che il precedente sistema di Intrusion Detection generava dal 60 al 70% di falsi positivi. Uno dei sistemi in test ne generava molti meno e, quindi, è stato calcolato che il processo di sostituzione (servizi professionali, licenza, costi indotti e di downtime, successivo mantenimento) sarebbe costata molto meno del mantenimento del sistema precedente.
Il tema della dimensione economica della sicurezza si fonda su un paradosso che affascina gli economisti e demoralizza i manager IT: più un investimento in sicurezza è adeguato meno visibili e misurabili sono i suoi risultati.
Il calcolo del ROI non può essere applicato alla perfezione perché spesso il ritorno sugli investimenti in sicurezza è intangibile: è più opportuno quindi focalizzarsi sulle aspettative di perdita.
Un altro svantaggio del ROI è che non tiene conto del valore del denaro nel tempo: il denaro speso oggi vale più del denaro che si riceverà più avanti, per la perdita indotta dal mancato investimento di quella quantità di denaro. Ci viene qui in aiuto il Net Present Value, parametro più utile per considerare il valore di un investimento nel tempo: l'NPV è il risultato della sotrazione tra costi associati all’investimento nel tempo e totale scontato dei risparmi attesi. L'NPV confronta il valore di un euro oggi contro il valore dello stesso euro nel futuro, considerando l'inflazione e il ritorno: normalmente, se l'NPV di un progetto è positivo, ci sono più probabilità che il progetto venga accettato; in caso contrario il progetto può essere rifiutato perchè il cash flow risulta negativo.
|
Libra Security 