Importanza della Sicurezza Informatica nelle Aziende Svizzere
In Svizzera, la sicurezza informatica è diventata una questione di primaria importanza per le aziende. Nel 2023, il National Cyber Security Centre ha riportato oltre 30,000 incidenti informatici, un numero doppio rispetto allo stesso periodo dell’anno precedente. Secondo il rapporto IBM del 2024, il costo medio globale di una violazione dei dati è salito a quasi 5 milioni di dollari, un aumento del 10% rispetto al 2023. In Svizzera, i costi possono essere altrettanto elevati, considerando la forte presenza di settori ad alta intensità di digitalizzazione come quello finanziario e sanitario. Le aziende svizzere devono quindi affrontare non solo le perdite finanziarie dirette, ma anche i costi associati alla perdita di fiducia dei clienti e alle sanzioni. Inoltre, la crescente trasformazione digitale espone le aziende a nuovi rischi, rendendo la sicurezza informatica un tema da Board.
In risposta a queste sfide, molte aziende svizzere stanno aumentando i loro budget per la sicurezza informatica. Nel 2024, il 70% delle aziende svizzere ha previsto di incrementare il proprio budget per la sicurezza informatica, rispetto al 54% nel 2023. Questo aumento è guidato non solo dalla necessità di proteggere gli asset aziendali, ma anche dalla crescente pressione normativa e dalla necessità di mantenere la competitività in un mercato globale sempre più digitalizzato. Ma cosa guida il giusto aumento del budget?
Calcolo del ROSI
Il Return on Security Investment (ROSI) è uno strumento fondamentale per valutare l’efficacia degli investimenti in sicurezza informatica. A differenza del tradizionale ROI, che si concentra sui profitti, il ROSI misura quanto un investimento in sicurezza possa ridurre le perdite potenziali causate da incidenti informatici. In pratica, aiuta a confrontare il costo delle soluzioni di sicurezza con i benefici ottenuti dalla riduzione dei rischi.
Il ROSI può essere calcolato utilizzando diversi approcci. Molti di questi approcci sono stati sviluppati da accademici e fornitori; tuttavia, tutti gli approcci definiscono il ROSI come un valore, costituito dai benefici finanziari rispetto ai costi. Molti approcci utilizzano concetti come l’Annualised Loss Expectancy e l’Annualised Rate of Occurrence come parte del calcolo.
È fondamentale che il ROSI venga valutato da aziende indipendenti dai fornitori di tecnologia. Queste aziende offrono strumenti e supporto specializzati per calcolare il ROSI con precisione, fornendo analisi dettagliate e consulenze. L’indipendenza assicura valutazioni obiettive e che gli investimenti in sicurezza siano adeguati alle esigenze dell’organizzazione, contribuendo a proteggere efficacemente gli asset aziendali.
Dopo un supporto iniziale da parte di esperti, le aziende possono integrare il calcolo del ROSI nelle loro attività annuali. Così, diventa una pratica regolare nei processi di pianificazione strategica e di budget, garantendo negli anni a venire che le decisioni sugli investimenti in sicurezza siano basate su dati aggiornati e pertinenti.
Cosa guida l’utilizzo del ROSI?
Gli articoli nelle riviste di settore hanno reso il ROSI più visibile, attirando l’attenzione dei professionisti della sicurezza. Associazioni internazionali di sicurezza informatica hanno chiesto alle aziende associate perché calcolano il ROSI. Ecco le risposte:
Migliorare il Calcolo del ROSI
Un modo per migliorare il calcolo del ROSI è adottare un approccio basato sulla valutazione dell’esposizione al rischio dei business asset aziendali. I “business asset” sono le risorse chiave di un’azienda, come ad esempio dati, infrastrutture IT e proprietà intellettuale, che contribuiscono al suo valore e operatività. Valutando come questi asset sono esposti a rischi informatici, le aziende possono ottenere una stima più precisa del potenziale impatto finanziario degli incidenti di sicurezza.
Questo approccio facilita anche la discussione del tema a livello di Board, dove è cruciale comprendere come la sicurezza informatica protegga il valore complessivo dell’azienda. In questo contesto, il ROSI diventa uno strumento strategico per dimostrare come gli investimenti in sicurezza contribuiscano alla protezione e alla crescita del business.
Conclusioni
In un mondo ormai digitale e connesso, la sicurezza informatica non è solo una necessità operativa, ma un fattore chiave per il successo a lungo termine.
Investire in sicurezza informatica non solo protegge le aziende dalle nuove minacce digitali, ma può anche migliorare la loro resilienza e capacità di innovare in un mercato in continua evoluzione.
Le aziende che riescono a integrare efficacemente il ROSI nelle loro strategie di sicurezza possono ottenere un vantaggio competitivo significativo, proteggendo al contempo le loro risorse più preziose e garantendo che ogni investimento sia strategicamente allineato con la loro visione e missione aziendale, nonché sostenibile dal punto di vista finanziario.
Libero Marconi,
Senior Director and Board Advisor
Alvarez & Marsal’s Global Cyber Risk Services – Zürich
www.alvarezandmarsal.com