Come misurare il valore di un investimento in sicurezza IT? Come si riflette la sua importanza sulla struttura amministrativa e sulla cultura aziendale?
Di recente, un CFO ha affermato che l’investimento in cybersecurity era un investimento perso e che la sua azienda ha speso molto, “senza aver nessun ritorno dimostrabile”. Il sito KrebsonSecurity ha realizzato un’analisi delle 100 aziende principali a livello mondiale e ha scoperto che solo il 5% di queste dispone al suo interno un chief information security officer o un chief security officer.
Possono sembrare due argomenti disgiunti, ma in realtà sono strettamente legati. Perché? Se un’organizzazione non vede la cybersecurity come un investimento determinante, non considererà i responsabili della sicurezza come parte del team strategico.
È un circolo vizioso che ormai non funziona più. Un’azienda che valuta ancora la sicurezza come un costo irrecuperabile, dovrà cambiare opinione. E se i responsabili della protezione non fanno ancora parte del team esecutivo, è giunto il momento di accoglierli con un tappeto rosso.
Non si tratta di costi senza recupero
Un costo senza ritorno è ciò che viene investito e non può essere recuperato. Se un’azienda valuta la cybersecurity in questo modo, corre il rischio di misurare il valore dell’investimento basato solo sulla spesa e non sui benefici apportati. La componente più pericolosa di questa visione è l’inattività, cioè pensare di essere protetti perché mai colpiti da un attacco. Tutti invece sono vulnerabili e gli investimenti in sicurezza non sono solo una polizza assicurativa in caso di disastro. Nell’economia mobile e sempre connessa, basata sui dati, la sicurezza è una tecnologia abilitante che consente di fare business. È la base di ogni attività.
“La cybersecurity non è solo un costo, ma un elemento essenziale per l’innovazione e la trasformazione digitale. Pensiamo alle aziende che hanno sfruttato la tecnologia per rivoluzionare un determinato settore: Uber, Airbnb e Netflix, per citarne alcune. Senza un impegno costante e strategico rivolto alla sicurezza, i loro modelli di business non avrebbero funzionato,” spiega Sean Duca, Vice President, Regional Chief Security Officer, Asia Pacific & Japan di Palo Alto Networks.
Fare fruttare gli investimenti
Un rischio ulteriore che si corre con questo approccio è di perdere opportunità e sprecare risorse. Molte aziende acquistano tecnologie di sicurezza per rispettare la conformità o rispondere ai requisiti di un audit. La mentalità da costo senza recupero è “ora che abbiamo risolto questo problema di compliance, proseguiamo”.
Il rischio di questo approccio è di non rendere operativo tutto il valore dell’investimento. La compliance non è la la sicurezza e, se gli investimenti vengono effettuati in quest’ottica, si utilizzerà solo il 10 o 15% delle capacità delle soluzioni adottate. È uno spreco inutile.
È importante adottare un approccio basato sui risultati degli investimenti in sicurezza, per collaborare con i partner tecnologici e raggiungere gli obiettivi di protezione e, di conseguenza, di business. Se la sicurezza è un costo irrecuperabile, il valore del partner sarà considerato inferiore, mentre in realtà è una componente inestimabile nell’ottimizzare le funzionalità e le capacità delle soluzioni installate, grazie all’esperienza sviluppata in differenti settori. È giunto il momento di considerare i responsabili di sicurezza importanti anche per la definizione delle strategie aziendali. Si tratta di costruire una cultura di cybersecurity e di riconoscere che la sicurezza non è un costo a fondo perduto, ma un investimento per il futuro della propria azienda.
Copia & Incolla: perché questo titolo? Perché i contenuti di questa categoria sono stati pubblicati SENZA ALCUN INTERVENTO DELLA REDAZIONE. Sono comunicati stampa che abbiamo ritenuto in qualche modo interessanti, ma che NON SONO PASSATI PER ALCUNA ATTIVITÀ REDAZIONALE e per la pubblicazione dei quali Tech Economy NON RICEVE ALCUN COMPENSO. Qualche giornale li avrebbe pubblicati tra gli articoli senza dire nulla, ma noi riteniamo che non sia corretto, perché fare informazione è un’altra cosa, e li copiamo ed incolliamo (appunto) qui per voi.
Facebook Comments