Quanto bisogna investire in cyber sicurezza? È una domanda a cui sono chiamati a rispondere tutti i chief information security officer. Un punto di partenza è il report sul costo del data breach, condotto da Ponemon Institute per IBM Security e riassunto da Fred Streefland, chief security officer for North and Eastern Europe di Palo Alto Networks. La ricerca fornisce una grande quantità di informazioni utili a calcolare l’impatto finanziario degli investimenti sulla mitigazione del rischio.

Il punto di partenza è l'associazione della cybersecurity a numeri concreti. Per iniziare bisogna fare una completa valutazione del rischio. In parte consiste nel misurare lo stato della cybersecurity dell'azienda rispetto a una serie di variabili che rispecchiano le migliori pratiche standard del mercato. Un punto di riferimento può essere la ISO 27001 Security Framework. Copre 14 diversi domini, fra cui policy di sicurezza, conformità, gestione degli asset, sicurezza delle operazioni, relazioni con i fornitori e altri fattori chiave. In alternativa si può considerare, ad esempio, il National Institute of Standards Cybersecurity Framework e COBIT 5 For Information Security. A prescindere dallo standard di riferimento, l'importante è misurare lo stato dell'azienda e identificare le aree che necessitano di miglioramenti e di investimenti aggiuntivi.


Dopo avere effettuato la valutazione, bisogna sviluppare e implementare una strategia e una roadmap di mitigazione del rischio. La strategia dovrebbe essere collegata agli obiettivi di business. Dovrebbe tenere conto dei costi di una potenziale violazione e del livello di rischio che l'azienda è disposta a tollerare. Oltre che dei settori di rischio più critici, come la mancanza di visibilità, di controllo, la carenza di risorse umane, o altro.

L'ulteriore passo avanti è quello di trasformare la roadmap per la riduzione del rischio in benefici reali. In pratica vuol dire vedere i costi diretti della sicurezza informatica sotto forma di investimenti in tecnologie, operazioni e personale.

Per dare qualche esempio pratico, nel report di Ponemon il costo medio di un data breach è stato calcolato in 3,92 milioni di dollari, mentre il costo medio per ogni registro perduto è stato di 150 dollari. Ci sono altre informazioni specifiche che possono essere utili. Ad esempio, la cifratura ha ridotto il costo del data breach, in media, di 360.000 dollari. Una gestione della business continuity immediatamente successiva a una violazione della sicurezza ha ridotto il costo totale in media di 280.000 dollari.

Inoltre, eseguire test approfonditi di un piano di risposta agli attacchi potrebbe ridurre in media il costo di una violazione di 1,23 milioni di dollari. Le aziende che non avevano implementato l'automazione hanno registrato costi di violazione superiori del 95% rispetto a quelli di aziende completamente automatizzate.

Queste sono solo alcune delle informazioni contenute nel report, che è pubblicamente consultabile per chiunque fosse interessato. La ricerca, infatti, offre numerosi dettagli per regione e per settore.