Italian Site International Site
Il ROI della cybersecurity
OPINIONI |

Il ROI della cybersecurity

SE DA UN LATO GLI INVESTIMENTI PER PROTEGGERE AZIENDE E ISTITUZIONI DAGLI ATTACCHI HACKER STANNO AUMENTANDO, DALL'ALTRO QUESTI ULTIMI CONTINUANO AD AUMENTARE TANTO CHE CI SI INTERROGA SU COME CALCOLARE IL RITORNO DEGLI INVESTIMENTI. SEPPURE NON ESISTE ANCORA UNA RISPOSTA UNICA L'IMPORTANTE E' CONTINUARE A PORSI LA DOMANDA. E NON ABBASSARE LA GUARDIA

di Colin MacArthur, adjunct professor presso il Dipartimento di management e tecnologia

I governi di Italia, Europa e Stati Uniti hanno investito milioni di euro nella cybersecurity. In molti governi ci sono nuovi chief cyber officer, nuove agenzie che si occupano di cyber e una serie di nuove normative in materia. Molte grandi aziende negli Stati Uniti e in Europa sono ora tenute, in base a diverse normative, a riferire rapidamente una violazione dei dati o un hack ai loro regolamenti. A loro volta, sia il settore privato che quello pubblico sono impegnati in un'ondata di assunzioni nel settore informatico.
 
Le ragioni di questo enorme investimento sembrano ovvie. Siamo tutti sommersi da notifiche di perdita di dati e molti governi stessi sono stati vittime di attacchi informatici. Il ritmo incessante di perdite e interruzioni sembra un motivo ovvio per continuare a investire nella sicurezza informatica.
 
Ma quando i governi investono in sicurezza informatica, in cosa investono realmente? Una parte degli investimenti è destinata allo sviluppo delle capacità di cyber intelligence di un Paese, ovvero alla capacità di anticipare possibili attacchi e aggressori e di condividere informazioni su di essi. Ma altrettanti sforzi sono destinati alla creazione di reti, computer e dispositivi resistenti agli attacchi. I governi hanno investito miliardi in persone e processi per assicurarsi che i loro computer non funzionino senza antivirus e che i telefoni cellulari siano aggiornati. Stanno anche costruendo regolamenti per assicurarsi che altre aziende essenziali facciano lo stesso. Questo enorme investimento informatico riguarda tanto la "macchina del governo" di base - persone e processi - quanto il software sofisticato.
 
Ma nonostante questi anni di investimenti, gli attacchi e le perdite continuano ad aumentare. I ransomware a pagamento - ovvero i servizi che consentono a un aggressore di criptare da remoto il computer di qualcun altro e di chiedere un pagamento per annullarlo - sono più popolari che mai. Sebbene la guerra della Russia in Ucraina non abbia comportato alcun crollo massiccio della rete, ha incluso una serie di attacchi informatici, dimostrando la continua vulnerabilità dei sistemi ucraini e occidentali.
 
Con questa contraddizione - enormi investimenti nella protezione, ma continue perdite - come possiamo sapere se i nostri investimenti informatici valgono la pena? Qual è il "ritorno sull'investimento"? Sebbene la risposta sembri ovvia - più investiamo, più siamo sicuri - l'attuale contraddizione informatica sembra metterla in discussione.
 
Negli ultimi anni ho chiesto ai leader tecnologici del governo e del settore privato come misurano l'impatto del loro lavoro. Spesso sorridono pudicamente o guardano il tavolo. Alcuni offrono risposte semplici: il numero di persone che servono, il numero di vulnerabilità che identificano o il numero di attacchi a cui rispondono. Ma nessuno ha risposto indicando un modo per misurare quanto il loro lavoro ci renderà sicuri, e come questo sia confrontabile con il costo.
 
Alcuni studiosi stanno cercando di rispondere a queste domande. Un approccio consiste nel calcolare, utilizzando modelli economici, i possibili costi per le economie dei Paesi di vari segnali di attacchi informatici. Se gli investimenti del governo nella sicurezza informatica impediscono tali attacchi, il costo evitato è una misura del valore dell'investimento. Un altro approccio consiste nell'articolare tutti i possibili danni che possono colpire un'organizzazione sotto attacco e contare il numero di quelli evitati. Questi approcci, anche se non ampiamente applicati, sono un inizio per misurare una qualche forma di valore.
 
Alcuni sostengono addirittura che non sia possibile stabilire il ROI degli investimenti in cybersecurity. Si può davvero dare un prezzo al senso di sicurezza? Chiediamo lo stesso ai nostri investimenti nel settore militare? Ci sono sicuramente delle sfide reali nel misurare tutti i tipi di valore che uno sforzo di cybersecurity può apportare.
 
Ma vale la pena di cercare di stabilire l'impatto reale degli investimenti governativi in cybersicurezza. Ogni investimento comporta un compromesso, un'altra priorità non altrettanto finanziata. E spesso le attività di cybersecurity mettono a confronto la sicurezza con la privacy o la facilità di accesso alle informazioni. I governi, la società civile e i cittadini stessi dovrebbero continuare a chiedersi: come facciamo a sapere se questo requisito, processo o azione di cybersecurity vale lo sforzo?

Ultimi articoli Opinioni

Vai all'archivio

  • Il giusto equilibrio contro gli shock

    Assicurazione contro la disoccupazione o lavoro a tempo ridotto? Meglio tutelare i lavoratori o i posti di lavoro? La risposta puo' essere la complementarita' dei sistemi

  • La fuga degli onesti

    I migranti tendono a essere piu' onesti di chi rimane nei luoghi di origine. Luoghi che, di conseguenza, sono privati di capitale sociale, con effetti negativi sulla produttivita', sulla crescita e sulla qualita' delle istituzioni

  • Il limite della tossicita'

    Per un verso le piattaforme e i loro algoritmi sembrano assecondare la presenza di contenuti basati sull'odio o dannosi nei feed degli utenti; dall'altro, le piattaforme li hanno moderati fin dall'inizio, prima ancora delle multe. Forse la strategia redditizia per loro sta nel mezzo

Sfoglia la nostra rivista in formato digitale.

Sfoglia tutti i numeri di via Sarfatti 25

SFOGLIA LA RIVISTA

Eventi

Lun Mar Mer Gio Ven Sab Dom
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30