E’ stato sviluppato un approccio metodologico decisionale per chi deve in aziend acompiere e quindi giustificare investimenti in sicureza aziendale.
Nasce da un’iniziativa italiana promossa da Oracle, Clusit (associazione italiana per la sicurezza informatica) e AIEA (Associazione Italiana Information Systems Auditors). Al gruppo di lavoro hanno partecipato anche Deloitte, Ernst & Young, KPMG e PricewaterhouseCoopers, vale a dire le quattro più importanti società di revisione e consulenza nel campo economico-finanziario.
Queste organizzaizoni, assieme, hanno creato un insieme di linee guida per la valutazione di questo particolare tipo di investimento.
I promotori di ROSI evidenziano come oggigiorno le spese per mettere in sicurezza i l’IT e i dati siano vissute dalle aziende come un mero costo da sostenere per conformarsi alle pratiche correnti e alle normative, e non come un investimento da cui ci si attendono precisi ritorni, magari non a livello economico ma comunque vantaggiosi per l’organizzazione.
“Le spese in sicurezza, in realtà, ripagano essenzialmente con la minore probabilità di subire dei danni. Pertanto, nel momento in cui la minaccia si manifesta, il valore delle contromisure volte a contrastarla diventa almeno pari, se non superiore, al valore del bene protetto, in considerazione dei mancati danni indiretti: riduzione del business, ricadute sulla reputazione aziendale, sanzioni pecuniarie e così via”, sottolineano le parti.
Il metodo ROSI quindi è stato concepito per stimare, tramite criteri oggettivi e best practice, il valore degli investimenti in soluzioni per la sicurezza IT e a giustificarli considerando che essi sono destinati principalmente a prevenire potenziali rischi non completamente quantificabili anziché a generare un beneficio diretto.
ROSI propone due approcci utilizzabili in alternativa o congiuntamente: uno più analitico (approccio top-down), che parte dalle ipotesi per giungere alle conclusioni, e uno più pragmatico (approccio verify), che si basa su una serie di soluzioni note a problemi comuni e cerca di capirne l’applicabilità alla situazione in esame.
In tutti i casi, il percorso si conclude con la redazione di un documento, che trae il sostegno per le proprie tesi dal lavoro precedente (con l’approccio top-down, l’approccio verify o una combinazione dei due)..
Il documento, con licenza creative commons è reperibile qui: Rosi V1 oppure direttamente dal sito del Clusit.