Prendere delle decisioni sugli investimenti sulla sicurezza è tutt’altro che facile per un’azienda. In genere, i security manager o i responsabili IT fanno molta fatica a giustificare gli investimenti in soluzioni per la sicurezza. Questo sia per il loro background culturale, che è di tipo tecnico e quindi meno portato a ragionare in termini economico-finanziari, si per la natura stessa delle soluzioni per la sicurezza, che sono per lo più destinate a prevenire rischi potenziali, piuttosto che fornire benefici diretti e misurabili. Inoltre, chi è incaricato di gestire la sicurezza all’interno di un’azienda, molto spesso, è uno specialista nell’ICT, ma non possiede esperienze specifiche in ambito di sicurezza informatica.

Oggi, tuttavia, sono richiesti maggiori investimenti in sicurezza per rispondere a requisiti legislativi, e per far fronte all’aumento delle minacce che incombono sulle aziende e alle nuove esigenze create dalle tecnologie emergenti a supporto del business, come cloud computing, SOA o SaaS. Purtroppo, mentre altri tipi di spesa in tecnologia vengono giustamente riconosciuti, non solo come spese ma come investimenti volti a migliorare l’efficienza dei processi aziendali, la spesa per la sicurezza è troppo spesso percepita come un puro costo, un obbligo, una sorta di “tassa”. Le spese per la sicurezza informatica vengono decise nella maggior parte dei casi in base a criteri irrazionali, allo spauracchio di “virus” o di non ben identificati “hacker” che potrebbero introdursi, controllare e danneggiare i sistemi informatici.

Figura 1: Principali problematiche di sicurezza per le imprese
(fonte Ernst & Young)

Esiste chiaramente la necessità di disporre di criteri e metodi oggettivi che permettano di ottimizzare gli investimenti per la sicurezza informatica, maggior ragione, in un periodo, come questo, caratterizzato da una lunga e difficile crisi economica.