Rosi Return On Security Investment:
un approccio pratico

Come ottenere Commitment sulla Security

ROSI sta per "Return On Security Investment", e, con questa sigla, s'intende il lavoro di valutazione dei vantaggi potenziali di un investimento in sicurezza, in particolare in sicurezza delle informazioni.

È un supporto decisionale rivolto in primis a quanti sono in posizioni di responsabilità sul settore di Information e Communication Technology delle organizzazioni, e devono allocare in modo prudente delle risorse scarse. Può essere anche, a posteriori, un supporto per la valutazione di efficacia di processi e/o impianti già in produzione.

Non è, come si può intuire, un'oggetto paragonabile al ROI che si calcola in ambito finanziario, in quanto non stiamo trattando un investimento nel senso tecnico del termine ovvero di una spesa per un bene che di per sè produrrà ricavi (a meno che il business principale dell'investitore sia proprio la sicurezza) ma uno strumento per analizzare, decidere e supportare le scelte di investimento in sicurezza delle informazioni basato su solide basi metodologiche e nel contempo adattabile alle esigenze dell'utilizzatore.

Motivazione degli autori

Questa iniziativa è stata avviata da AIEA, Clusit e Oracle, nel settembre 2009, e vede la partecipazione all’interno del Gruppo di Lavoro di Deloitte, Ernst & Young, KPMG e PricewaterhouseCoopers

L’esperienza delle aziende e delle associazioni componenti del Gruppo di Lavoro mostra chiaramente come esista una necessità del mercato della sicurezza informatica di fare un passo avanti e di disporre di criteri e metodi oggettivi che permettano di ottimizzare gli investimenti nei capitoli di spesa in sicurezza informatica.

Crediamo che questo lavoro sia vantaggioso per tutto il settore, e contribuisca in modo sostanziale alla sua maturazione, dando un vantaggio a tutti gli operatori (clienti, fornitori, consulenti, ecc.) e giustificando una collaborazione, come questa, che vede coinvolte anche aziende normalmente concorrenti sul mercato.

Si intende quindi consentire ad aziende private, enti pubblici, vendor tecnologici, società di consulenza, e così via, di approcciare la sicurezza delle informazioni – tema obbiettivamente complesso e tendenzialmente multidisciplinare – in un modo organico e strutturato, che dia a ciascuno gli strumenti per giudicare con cura quali investimenti adottare e su quali strade spingere la propria evoluzione tecnologica ed organizzativa.

Perchè fare investimenti in Sicurezza delle informazioni?

Le motivazioni degli investimenti in sicurezza possono essere ricondotte ai seguenti driver di business:

Perchè valutare gli investimenti utilizzando il ROSI?

In generale i security manager e/o i responsabili dell'Information Technology in azienda trovano grosse difficoltà a giustificare gli investimenti in soluzioni per la sicurezza delle informazioni, vuoi per il proprio background culturale, che in genere è più tecnico e quindi meno portato a ragionare in termini economico-finanziari, vuoi per la natura stessa delle soluzioni che nella maggior parte dei casi sono destinate a prevenire potenziali rischi non completamente quantificabili piuttosto che finalizzate a fornire un beneficio diretto e misurabile.

Gli approcci proposti nel ROSI permettono all'azienda di adottare una strategia di sicurezza basata sul rischio per identificare le iniziative prioritarie, ottimizzare la spesa in funzione dei risultati e giustificare meglio i nuovi investimenti dimostrandone il ritorno in termini di benefici di business.

A chi si rivolge?

Questo documento è pensato per tutti coloro i quali all’interno di un’organizzazione hanno ricevuto l’incarico di gestire la sicurezza delle informazioni di cui l’organizzazione medesima si serve, a qualsivoglia titolo.

Si tratta spesso di specialisti del settore dell’informatica e delle telecomunicazioni, generalmente all’interno del settore IT o ICT, ma che non sempre hanno esperienze specifiche in ambito di sicurezza informatica, né, a maggior ragione, di sicurezza delle informazioni. Si tratta a volte di persone di estrazione diversa, e che magari provengono da esperienze in ambito organizzativo o della gestione qualità.

Si trovano a riportare a responsabili IT o ICT, ma anche a responsabili dell’organizzazione, delle risorse umane o dell’amministrazione o addirittura in staff alla direzione generale.

L’organizzazione di cui fanno parte può essere un’azienda privata, una pubblica amministrazione, un ente no profit, un partito politico... ed essere attiva in ogni settore come ad esempio nell’agricoltura, nell’industria o nel terziario.

Tutte le organizzazioni condividono la necessità – in misura maggiore o minore – di trattare informazioni, e di allocare in modo prudente le proprie risorse.

Guida alla lettura

Decidere gli investimenti aziendali sulla sicurezza può essere un esercizio complesso. Il ROSI propone due approcci utilizzabili in alternativa o congiuntamente: uno più analitico, che parte dalle ipotesi per giungere alle conclusioni, ed uno più pragmatico, che si basa su una serie di soluzioni note a problemi comuni e cerca di capirne l’applicabilità alla situazione in esame.

Approccio Top-Down

L’approccio Top-Down, con un’impostazione classica di analisi, raccolta dei dati, identificazione delle possibilità e scelta, è presentato nella sezione 2, "Metodo e strumenti".

Parte da una presentazione del metodo, presenta quindi i concetti di costo e ritorno con alcuni suggerimenti per la valutazione e la misurazione di ciascuno, e conclude con la combinazione dei due per produrre il risultato.

Guida alla lettura in approccio "Verify" (bottom-up)

L’approccio “Verify” parte invece da una serie di "casi" esemplificativi, per consentire al lettore di formarsi una propria idea del metodo proposto, e procedere per analogia. Questi schemi, ricorrenti in molte realtà anche molto diverse tra loro, sono qui chiamati “pattern”.

Nella sezione 3, intitolata appunto "Pattern", vengono dapprima presentate tutte le informazioni che è necessario raccogliere per costruire un "Pattern" completo; nel libro è possibile trovare alcuni esempi da cui trarre spunto.

Redazione del documento di ROSI

In tutti i casi, il percorso si conclude con la redazione di un documento, che trae il sostegno per le proprie tesi dal lavoro precedente (con l’approccio Top-Down, l’approccio Verify o una combinazione dei due).

Lo schema del documento è presentato alla sezione 4, “Redazione del documento ROSI”, insieme ad alcuni suggerimenti di contenuto e di stile che si sono dimostrati negli anni assai fruttuosi.

Metodologia per la valutazione del ROSI

Metodologia per la valutazione del ROSI

Appendici

Per motivi editoriali alcune appendici del documento ROSI sono separate dal documento principale. è possibile farne il download nell'apposita sezione.

Rassegna Stampa

Cliccare sul titolo dell'articolo per visualizzarne la versione completa.

ROSI per tutti

Ovvero, come individuare il ritorno dell'investimento relativo a una soluzione sulla sicurezza.

10/12/2010

La sicurezza come investimento

Speciale realizzato da Mediaplanet.

30/09/2010

ROSI, ovvero Return On Security Investment

Un utile strumento per chi in azienda deve compiere, e quindi giustificare, investimenti in sicurezza IT. Ma anche un supporto per la valutazione di processi e/o sistemi esistenti.

06/2010

Il ROSI con un altro nome

Una proposta di valutazione degli investimenti in sicurezza è un fatto interessante. Chiamarla con il nome d'un vecchio fallimento potrebbe esserlo meno.

18/03/2010

ROSI valuta gli investimenti in sicurezza informatica

Una iniziativa congiunta di Oracle, Clusit e AIEA, volta a proporre al mercato criteri oggettivi per stimare correttametne il ritorno degli investimenti in sicurezza informatica.

18/03/2010

ROSI valuta gli investimenti in sicurezza

Presentato un metodo per stimare il valore dei soldi spesi per la security. Aziende interessate cercasi.

16/03/2010

ROSI, così si calcola il Roi della sicurezza

AIEA, Clusit e Oracle propongono un metodo per vlautare gli investimenti in security.

16/03/2010

Sicurezza IT: un metodo partico di valutazione degli investimenti

Arriva ROSI, un approcio per valutare gli investimenti in security. Un'iniziativa italiana di Clusit, AIEA, Oracle e quattro società di revisione.

16/03/2010

ROSI valuta gli investimenti aziendali in sicurezza IT

Oracle, Clusit e AIEA hanno presentato ROSI, un approcio metodologico per la valutazione degli investimenti in sicurezza informatica secondo criteri oggettivi.

16/03/2010

A Milano, dal 13 al 18 marzo, si discute di sicurezza

Per studiare il ROSI, in pratica il Roi della sicurezza, abbiamo riunito le migliori società di consulenza del mondo e abbiamo prodotto un documento che sarà distribuito al Security Summit.

11/03/2010

Investire in sicurezza: quale ritorno?

AIEA, Clusit e Oracle hanno costituito un gurppo di lavoro per aiuatre a calcolare il cosiddetto "ROSI".

10/02/2010


Autori e contributori


  • AIEA
  • Clusit
  • Deloitte
  • E&Y
  • KPMG
  • Oracle
  • Price
  • Gli Autori del ROSI sono:

    Alberto Borgonovo KPMG Advisory CISA, Lead Auditor 27001, OPST, Prince2 Foundation, ENA.
    Luca Boselli KPMG Advisory Senior Manager IT Advisory
    Mauro Cicognini Clusit Comitato Direttivo e Comitato Tecnico Scientifico
    Giuseppe D'Agostino PricewaterhouseCoopers Advisory Senior Consultant Security & Technology
    Sebastiano D'Amore PricewaterhouseCoopers Advisory CIO e Director Security & Technology
    Giuseppe D'Asta Oracle Business Development Representative
    Pierluigi Lonero KPMG Advisory Senior Manager IT Advisory
    Andrea Longhi Deloitte Enterprise Risk Services Director Service Line security & Privacy Services
    Fabio Lorenzo PricewaterhouseCoopers Advisory Manager Security & Technology
    Andrea Mariotti Ernst & Young Financial Business Advisors Senior Manager
    Raoul Savastano Ernst & Young Partner ICT Security
    Alberto Piamonte AIEA Socio
    Alessandro Vallega Oracle Business Development Manager

    Hanno inoltre contribuito con nuovi pattern o contenuti significativi:

    Riccardo Scalici ACE European Group Ltd Responsabile sottoscrizione rischi informatici per l'Italia.
    Claudio Pasi Sinfo One Responsabile Div. Tecnologia
    Enzo M. Tieghi ServiTecno S.r.l. Consigliere AIIC
    Stefano Saibene Deutsche Bank PBC - Project & Process Management
    Andrea Zapparoli Manzoni B.U. Security Gruppo Terasystem Principal Security Consultant
    Matteo Galimberti Security Program Manager, B.U. Security Gruppo Terasytem
    Giacomo Aimasso CISA, CISM, CTO B.U. Security, Gruppo Terasystem
    Paolo Marelli VDI Global Business Unit Senior Sales Consultant
    Giuseppe Russo Oracle Italia Chief Technologist e Security Top Gun

Ulteriori Sviluppi

La versione disponibile è la 2.0 (15/3/2011), che rispetto alla versione 1.0 vede un approfondimento del Metodo di lavoro, oltre a numerose migliorie. Si è arricchita inoltre con molti nuovi Pattern che hanno visto anche il contributo di aziende esterne al Gruppo di Lavoro originale.

Nuovi Pattern

Altri pattern potranno essere inseriti nel ROSI per rappresentare un insieme più ampio di iniziative di sicurezza. Le società/enti interessate/i possono esprimere i propri interessi contattando il gruppo di lavoro all’indirizzo email riportato nella sezione "Contatti".

Case Study

Il gruppo di lavoro è in linea di principio disponibile ad assistere in maniera gratuita una società/ente, a giudizio insindacabile dello stesso nell’acquisizione delle pratiche descritte nel ROSI, a condizione che in un momento successivo la stessa società/ente sia disponibile a descrivere, almeno in forma anonima, la propria esperienza e le risultanze del lavoro svolto.

Faq

Qual è la versione attuale del documento?
La versione attuale è la 2 ed è stata pubblicata il 15 marzo 2011.

Posso essere informato sulla pubblicazione delle prossime versioni del documento?
Si, è sufficiente scrivere un email all'indirizzo rosi@clusit.it per essere inserito in una distribution list.

Ci sono dei "tool", check list, fogli excel distribuibili con il ROSI che mi possano aiutare ad affrontare il metodo top-down?
Il materiale che il gruppo di lavoro ha reputato facilmente utilizzabile è riportato al link "Appendici". Altre richieste possono essere formulate scrivendo a rosi@clusit.it.

Posso contribuire alla stesura di un Pattern?
Certamente, il gruppo di lavoro ne valuterà la validità generale per incorporarla in una possibile nuova versione del documento, attribuendone i meriti all'autore.

Posso offrire la mia disponibilità per redigere, guidato dal gruppo di lavoro, un Case Study?
Certamente! Al link "ulteriori sviluppi" si trovano alcune informazioni.

Come posso usare il documento ROSI? Lo posso modificare e farne altri usi?
Il desiderio del gruppo di lavoro è quello che il ROSI porti valore al mercato in senso ampio, senza limitazioni superflue. La licenza scelta è la CreativeCommons, Attribuzione-Condividi allo stesso modo 2.5 Italia. E' però gradito ricevere dagli utilizzatori una email di informazione sull'uso che ne fanno.

Dove posso scaricare l'ISO 2700x?
L'ISO 27000 non si può scaricare gratuitamente, ma è necessario acquistarla. Ulteriori informazioni sono reperibili qui: www.27000.org o www.iso.org.

Dove posso scaricare l'ITIL?
l'ITIL non si può scaricare gratuitamente, ma è necessario acquistarlo. Ulteriori informazioni sono reperibili qui: www.itil-italia.com

Download

È possibile fare il download del documento (aggiornato a marzo 2011) tramite i seguenti link:

ROSI
Scarica il libro

Si segnala che nel Rapporto Clusit 2015 è stato inserito un breve articolo sul ROSI (Return on Security Investiments).

L’intero rapporto é reperibile qui: http://www.clusit.it/rapportoclusit/ Il solo Focus on sul ROSI é scaricabile in italiano qui e in inglese qui


Per dimostrare il vostro apprezzamento, per darci un consiglio e/o per richiedere eventuali aggiornamenti dei nostri lavori potete contattarci scrivendo a c4s@clusit.it

Il documento, le appendici e gli allegati sono concessi in licenza Creative Commons 4.0 Italia, Attribuzione - Condividi allo stesso modo.

La licenza utilizzata permette a chiunque di usare il nostro prodotto anche per crearne una sua evoluzione a condizione che citi gli autori originali e utilizzi a sua volta lo stesso tipo di licenza. Autorizziamo la pubblicazione anche parziale di testo e immagini non già protette da altri copyright riportando la nostra url http://c4s.clusit.it.


Torna al sito c4s