Ogni anno, i responsabili della sicurezza informatica affrontano la stessa battaglia: giustificare il budget al CFO. La difficoltà non sta nella mancanza di argomenti – gli argomenti ci sono e sono solidi – ma nella lingua.

La cyber security parla di vulnerabilità, vettori di attacco, superfici esposte; il management parla di costi, ricavi, rischi finanziari.

Il Return on Security Investment (ROSI) è il dizionario che traduce tra questi due mondi: uno strumento metodologico che consente di esprimere il valore di un investimento in sicurezza informatica nei termini economici che il board comprende e rispetta.

Non si tratta di un esercizio puramente teorico. Le organizzazioni che hanno adottato un approccio strutturato alla misurazione del ROSI riferiscono benefici concreti: processi di approvazione del budget più rapidi, investimenti in sicurezza meglio calibrati sulle priorità di rischio effettive e una comunicazione più efficace con il management che porta a decisioni più informate.

Il ROSI non garantisce che ogni euro investito in sicurezza produca un ritorno misurabile, sarebbe una promessa impossibile in un dominio intrinsecamente probabilistico, ma garantisce che le decisioni di investimento siano prese con consapevolezza del rischio che si intende mitigare e del costo per farlo.

Cosa significa ROSI e perché è fondamentale per il budget aziendale

Il Return on Security Investment è una metrica finanziaria che misura il rapporto tra il beneficio economico atteso da un investimento in sicurezza informatica, espresso come riduzione del rischio di perdita, e il costo dell’investimento stesso.

A differenza del ROI tradizionale, che misura il guadagno generato da un investimento, il ROSI misura una perdita evitata: il suo valore non è in un ricavo incrementale, ma in un danno che non si è verificato grazie all’investimento.

Questa distinzione concettuale è fondamentale per comprendere sia le potenzialità sia i limiti del ROSI come strumento decisionale.

Il ROSI risponde a una domanda precisa che il management si pone di fronte a qualsiasi richiesta di budget per la sicurezza: quanto mi costa non fare questo investimento? Tradotto in termini operativi: qual è la perdita economica attesa se non implemento questo controllo e il costo del controllo è inferiore alla perdita che mi aspetto di evitare? Quando la risposta è sì (e spesso lo è, per i controlli ben scelti) il ROSI fornisce la giustificazione razionale all’investimento che il solo argomento della compliance normativa non sempre riesce a produrre.

Limiti del ROI tradizionale applicato alla sicurezza informatica

Il ROI classico, calcolabile con la formula:

(Guadagno dall’investimento − Costo dell’investimento) / Costo dell’investimento × 100

funziona bene per investimenti che generano ricavi misurabili: un nuovo macchinario che aumenta la produzione, una campagna marketing che porta nuovi clienti.

Applicato alla sicurezza informatica, mostra rapidamente i suoi limiti strutturali. Il principale è l’invisibilità del successo: quando un controllo di sicurezza funziona correttamente, non succede nulla e il nulla non genera una voce positiva nel conto economico.

Un firewall che blocca 10.000 tentativi di accesso non autorizzato al giorno non produce ricavi, ma l’assenza di un incidente che avrebbe potuto costare milioni.

Il secondo limite è l’incertezza intrinseca: la probabilità che un incidente si verifichi non è mai nota con precisione, ma solo stimabile attraverso dati storici e modelli probabilistici. Il ROI tradizionale lavora con numeri certi; il ROSI lavora con distribuzioni di probabilità e scenari.

Questo non lo rende meno utile ma, al contrario, più onesto: è solo che richiede un approccio metodologico diverso, basato sulla stima ragionata piuttosto che sulla certezza contabile.

Il terzo limite è la difficoltà di isolare il contributo di un singolo controllo alla riduzione complessiva del rischio: la sicurezza informatica è un sistema di controlli interdipendenti e attribuire a ciascuno una quota precisa della riduzione del rischio richiede approssimazioni che il ROI tradizionale non tollera facilmente.

Il valore della prevenzione nella protezione degli asset di business

Il valore economico della prevenzione in cyber security è sistematicamente sottostimato perché è difficile da rendere visibile.

I costi di un incidente sono tangibili e documentabili: costi di risposta, ripristino, notifica, sanzioni, perdita di ricavi, danno reputazionale. I benefici della prevenzione sono per definizione ipotetici: sono gli incidenti che non si sono verificati, i danni che non si sono materializzati, le sanzioni che non sono state comminate.

Questa asimmetria crea un bias cognitivo che porta i decision-maker a sotto investire in prevenzione rispetto a quanto sarebbe ottimale dal punto di vista del rischio atteso.

Il dato che si può estrarre dall’IBM Cost of a Data Breach 2024 offre un punto di riferimento quantitativo che aiuta a correggere questo bias: il costo medio globale di una violazione dei dati è di 4,88 milioni di dollari, con variazioni significative per settore (il settore sanitario registra costi medi superiori a 9 milioni) e per la presenza o assenza di controlli specifici.

Le organizzazioni con un programma maturo di incident response e con strumenti di rilevamento avanzati riducono il costo medio del breach di oltre un milione di dollari rispetto a quelle che ne sono prive.

Tradotto in termini di ROSI: se un programma di incident response costa 200.000 euro all’anno e riduce il costo atteso di un breach di un milione, il ROSI è positivo anche assumendo una probabilità di incidente del 20% annuo.

La formula matematica per calcolare il Return on Security Investment

La formula base del ROSI è elegante nella sua semplicità concettuale:

ROSI = (ALE × % di riduzione del rischio) − Costo annuo del controllo

dove ALE è l’Annualized Loss Expectancy, ossia la perdita economica attesa annua in assenza del controllo, e la percentuale di riduzione del rischio è la stima di quanto il controllo riduce la probabilità o l’impatto dell’evento avverso.

Un ROSI positivo indica che il beneficio atteso supera il costo; un ROSI negativo indica che il controllo costa più di quanto risparmia in termini di rischio atteso.

La difficoltà pratica non sta nella formula, che è aritmetica, ma nella stima degli input. L’ALE dipende da due componenti: la Single Loss Expectancy (SLE), ovvero il costo stimato di un singolo evento avverso, e l’Annual Rate of Occurrence (ARO), ovvero la frequenza stimata con cui l’evento si verifica in un anno.

La SLE si stima sommando tutte le componenti di costo di un incidente: dirette (risposta, ripristino, notifica, sanzioni) e indirette (perdita di ricavi, danno reputazionale, churn dei clienti). L’ARO si stima dai dati storici interni, dai benchmark di settore e dai report di threat intelligence.

Come calcolare l’esposizione al rischio e la perdita annuale stimata

Il calcolo della SLE richiede di identificare tutti i costi che un’organizzazione sosterrebbe in caso di materializzazione dello scenario di rischio considerato.

Per un attacco ransomware su un’organizzazione manifatturiera di medie dimensioni, la SLE comprende: i costi di risposta all’incidente, i costi di ripristino dei sistemi (rebuild, restore da backup), il downtime produttivo (giorni di fermo × margine giornaliero: la componente spesso più rilevante), i costi di notifica GDPR/NIS2, le sanzioni potenziali e il danno reputazionale stimato.

La stima dell’ARO è la componente più critica e più spesso approssimata. Le fonti più affidabili per la calibrazione sono i dati di settore (Verizon DBIR fornisce tassi di incidente per settore e dimensione aziendale), i dati storici interni (quanti incidenti significativi ha subito l’organizzazione negli ultimi cinque anni) e i dati di threat intelligence sull’attività di gruppi criminali che prendono di mira il settore specifico.

Per un ransomware in un’organizzazione manifatturiera italiana di medie dimensioni, un ARO tra 0,1 e 0,3 (un incidente ogni 3-10 anni) è una stima ragionevole e difendibile basata sui dati Clusit 2024.

Tasso di mitigazione della minaccia e costo totale della soluzione

Il tasso di mitigazione, ossia la percentuale di riduzione del rischio attribuita al controllo, è la variabile che richiede la stima più difficile e più influente sul risultato finale del ROSI.

Non esistono valori universali: un firewall di nuova generazione potrebbe ridurre del 70% il rischio di intrusione da internet ma avere zero effetto su un attacco che sfrutta le credenziali di un utente interno legittimo; un programma di awareness potrebbe ridurre del 40% il rischio di phishing riuscito ma non incidere sulle vulnerabilità software.

La stima deve essere specifica per il controllo, per il tipo di rischio considerato e per il contesto dell’organizzazione.

Le fonti più attendibili per la stima del tasso di mitigazione sono i dati empirici dei vendor, da trattare con scetticismo critico, essendo prodotti commercialmente interessati, le linee guida CIS Controls (che forniscono stime di riduzione del rischio per ogni Implementation Group), i dati di ricerca indipendenti come quelli del SANS Institute e i risultati degli audit e dei penetration test interni che consentono di misurare l’efficacia dei controlli esistenti nel contesto specifico.

Il costo totale della soluzione deve includere non solo il costo di acquisto, ma tutti i costi del ciclo di vita: implementazione, formazione, manutenzione, aggiornamenti, personale dedicato alla gestione.

Sottostimare il TCO (Total Cost of Ownership) è uno degli errori più frequenti nelle analisi ROSI e porta a decisioni di investimento che sembrano ottimali sulla carta ma risultano sovradimensionate nella pratica operativa.

Metriche chiave per misurare l’efficacia della spesa cyber

Il ROSI è una metrica di pianificazione e supporta le decisioni di investimento ex ante, ma la valutazione dell’efficacia della spesa in sicurezza richiede anche metriche operative che misurino i risultati ex post: quanto è effettivamente migliorata la postura di sicurezza dopo l’implementazione di un controllo?

Le metriche di efficacia si dividono in due categorie principali, complementari e non sostituibili: metriche finanziarie e metriche tecniche. Le prime misurano l’impatto economico; le seconde misurano la qualità operativa dei controlli implementati.

Indicatori finanziari e riduzione del costo medio di un data breach

Le metriche finanziarie più rilevanti per la valutazione ex post del ROSI sono quelle che misurano la variazione dei costi associati agli incidenti nel tempo.

Il confronto tra il costo medio degli incidenti prima e dopo l’implementazione di un controllo è la misura più diretta dell’efficacia dell’investimento, ma richiede una storia di incidenti documentati che molte organizzazioni non hanno.

In alternativa, il confronto con i benchmark di settore consente di valutare la posizione relativa dell’organizzazione rispetto alla media: un’organizzazione con MTTD inferiore alla media di settore, a parità di altri fattori, si aspetta costi di breach inferiori alla media.

Un indicatore finanziario spesso trascurato ma molto significativo è la variazione del premio assicurativo cyber. Il mercato assicurativo cyber prezza il rischio in modo sempre più granulare: le organizzazioni che possono dimostrare l’implementazione di controlli specifici (MFA su tutti gli accessi privilegiati, EDR con copertura completa degli endpoint, backup offline testati) ottengono premi significativamente più bassi rispetto a quelle che non li hanno.

La riduzione del premio, su contratti pluriennali, può da sola giustificare economicamente l’investimento in alcuni controlli di sicurezza di base.

Indicatori tecnici correlati alla rapidità di rilevamento e contenimento

Le metriche tecniche più correlate al costo finale di un incidente sono il MTTD (Mean Time to Detect) e il MTTR (Mean Time to Respond). Il dato IBM CDBR 2024 è inequivocabile: ogni giorno in meno nel tempo di rilevamento di un breach riduce il costo finale in modo significativo.

Le organizzazioni che identificano e contengono una violazione in meno di 200 giorni risparmiano in media oltre un milione di dollari rispetto a quelle che superano questa soglia. Investire in strumenti che riducono il MTTD (SIEM, EDR con capacità di detection avanzata, threat hunting) ha un impatto misurabile e quantificabile sul costo atteso degli incidenti.

Il patch compliance rate è un’altra metrica tecnica con un diretto impatto finanziario: le vulnerabilità note non patchate sono il vettore di ingresso in una percentuale significativa degli attacchi documentati.

Un’organizzazione che mantiene un patch compliance rate superiore al 95% per le vulnerabilità critiche riduce la propria superficie di attacco in modo misurabile e questa riduzione si traduce direttamente in una riduzione dell’ARO per gli scenari di rischio che sfruttano vulnerabilità software.

Il phishing click rate (la percentuale di utenti che cadono nelle simulazioni di phishing periodiche) è l’indicatore più diretto dell’efficacia dei programmi di security awareness: ogni punto percentuale di riduzione del click rate corrisponde a una riduzione del rischio di compromissione iniziale tramite phishing, che rimane il vettore di accesso più comune nei breach documentati.

Come presentare il valore degli investimenti in sicurezza al board

La presentazione del ROSI al board e al CFO è una competenza distinta dal calcolo del ROSI.

Un’analisi metodologicamente impeccabile ma comunicata in modo inefficace non produce le decisioni di investimento desiderate.

Il board non ha il tempo né l’interesse per comprendere i dettagli del modello FAIR o le sottigliezze della stima dell’ARO: ha bisogno di una risposta chiara a tre domande — qual è il rischio, quanto costa mitigarlo, e conviene farlo?

Il formato più efficace per la comunicazione al board è il business case di sicurezza: un documento sintetico (massimo 2-3 pagine) che presenta il rischio identificato in termini economici (ALE stimata con intervallo di confidenza), l’investimento proposto con il suo costo totale su base annua, il ROSI calcolato per lo scenario centrale e per gli scenari ottimistico e pessimistico e una raccomandazione chiara.

Il business case deve evitare il gergo tecnico (non «mitigazione delle vulnerabilità CVE critiche» ma «riduzione del rischio di blocco dei sistemi produttivi») e deve essere ancorato a dati di settore riconoscibili, come i benchmark IBM o le statistiche Clusit.

Traduzione dei report di vulnerabilità in scenari di impatto economico

Uno degli esercizi più utili per comunicare il valore della sicurezza al management è la traduzione dei report tecnici di vulnerability assessment in scenari di impatto economico. Un report che elenca 47 vulnerabilità critiche, 123 alte e 280 medie non dice nulla al CFO sulla priorità di intervento e sul rischio aziendale.

Lo stesso report tradotto in «tre delle vulnerabilità critiche identificate, se sfruttate, consentirebbero a un attaccante di cifrare l’intera infrastruttura server con un danno stimato di 1,2-2,4 milioni di euro; il costo della remediation è di 35.000 euro» è un’informazione immediatamente azionabile.

Questa traduzione richiede di connettere le vulnerabilità tecniche agli asset di business che proteggono, di valutare la probabilità di sfruttamento basandosi sui dati di threat intelligence (molte CVE critiche non vengono mai sfruttate in modo diffuso; altre diventano commodity exploit nel giro di settimane) e di stimare l’impatto economico sugli asset esposti.

Non è un esercizio che il team tecnico può fare in modo autonomo: richiede la collaborazione con il business per comprendere il valore degli asset, con il legale per valutare le implicazioni normative, e con il management per calibrare la propensione al rischio dell’organizzazione.

Allineamento tra conformità normativa e ritorno economico dei controlli

La conformità normativa e il ritorno economico degli investimenti in sicurezza non sono obiettivi in tensione: sono, nella maggior parte dei casi, allineati.

I controlli richiesti da NIS2, DORA e GDPR sono stati selezionati perché riducono effettivamente il rischio di incidenti e il loro impatto e questa riduzione del rischio si traduce direttamente in un ROSI positivo.

Gestire correttamente il rischio cyber della supply chain, ad esempio, non è solo un obbligo NIS2: è un investimento con ROSI positivo, perché gli attacchi attraverso fornitori compromessi generano costi medi superiori agli attacchi diretti e sono più difficili da contenere rapidamente.

Il vantaggio dell’allineamento compliance-ROSI è che consente di costruire business case di sicurezza con una doppia giustificazione: quella normativa (dobbiamo farlo per rispettare la legge) e quella economica (conviene farlo perché il costo del controllo è inferiore al rischio che mitiga).

La doppia giustificazione è più robusta di ciascuna presa singolarmente: il solo argomento normativo può portare a implementazioni minimali che rispettano la lettera ma non lo spirito della norma; il solo argomento economico può portare a trascurare controlli con ROSI marginale ma con importanza critica per la conformità.

La combinazione produce investimenti in sicurezza che sono al tempo stesso economicamente razionali e normativamente solidi.

Un aspetto spesso sottovalutato dell’allineamento tra compliance e ROSI riguarda le sanzioni: il costo di una sanzione NIS2 o GDPR è un componente della perdita attesa che deve essere incluso nel calcolo dell’ALE.

Un’organizzazione che esclude le sanzioni regolamentari dalla stima della SLE sottostima sistematicamente il rischio effettivo e, di conseguenza, sottoinveste in sicurezza rispetto all’ottimo.

Per un soggetto NIS2 essenziale, l’esposizione sanzionatoria massima (10 milioni di euro o il 2% del fatturato globale) è una componente non trascurabile della perdita attesa per gli scenari di incidente più gravi, e il suo inserimento nel calcolo dell’ALE può cambiare significativamente le conclusioni dell’analisi ROSI.

Il Return on Security Investment non è una formula magica che elimina l’incertezza dalle decisioni di investimento in sicurezza informatica. È uno strumento di razionalizzazione che sostituisce le decisioni guidate da sensazioni, pressioni di vendor o compliance formale con decisioni basate su una stima strutturata del rischio e del beneficio.

In un contesto in cui le risorse sono sempre limitate e i rischi sono molteplici, questa razionalizzazione è esattamente ciò di cui i responsabili della sicurezza e i board che ne approvano i budget hanno bisogno.