ISACA International ha pubblicato una nuova IS Auditing Guideline (in bozza) relativa alla valutazione del ritorno degli investimenti per la sicurezza IT: ROSI - Return on Security Investment (pdf, 176K)  

Obiettivo

Il Return on Security Investment, ROSI, è uno dei principali key performance indicator per la misurazione dell’efficienza ed efficacia degli investimenti in IT security; per giungere ad una stima accurata del ROSI  le aziende devono però identificare i propri requisiti di sicurezza e definire opportune metriche di misurazione.

Componenti

ROSI si compone di due elementi:

1. l’insurance component che permette la risk analysis e la mitigazione dei rischi per mezzo degli investimenti di sicurezza
2. l’assessment component che valuta la percentuale di contribuzione degli investimenti nella mitigazione dei rischi evidenziati.

L’insurance component richiede una analisi completa delle vulnerabilità, minacce e del valore degli asset nonché delle misure di sicurezza esistenti e permette di quantificare le possibili perdite - annual loss expectancy (ALE); poi, attraverso gli investimenti in sicurezza, si può mitigare il rischio attraverso la sua eliminazione, il suo trasferimento (ad esempio per mezzo di una assicurazione), la sua accettazione (ad esempio riducendo per altre vie le perdite potenziali) o una combinazione delle stesse.

ROI e ROSI

IL ritorno sugli investimenti - return on investment (ROI) – è dato dalla formula
In maniera analoga il ROSI, che si basa sul costo per la prevenzione, si calcola nel seguente modo:
(un esempio complete di calcolo del ROSI è fornito nella guideline)
La Risk exposure è calcolata moltiplicando la proiezione del costp di una single loss exposure (SLE) per la sua prevista annual rate of occurrence (ARO):
Le stime dello SLE e ARO sono basate su metriche generate internamente dale esperienze pregresse o ottenute da fonti esterne (tavole attuariali ad esempio).

Security Metrics

Il calcolo del ROSI richiede alle aziende di avere security metrics coerenti e ripetibili. Esempi di security metrics sono:

• Baseline defences coverage (antivirus, antispyware, firewall, etc.) che permettono la misurazione delle difese di base aziendali contro le principali minacce alla sicurezza.
• Patch latency: il tempo che intercorre tra il rilascio di una patch ed il suo deployment in azienda.
• Robustezza delle password.
• Platform compliance scores: benchmark dell’hardware per mezzo di standard riconosciuti.
• E-mail traffic analysis.
• Application risk index: classificazione dei rischi (high, medium o low)

Optimum Investment in Information Security: Gordon-Loeb Model

Lawrence A. Gordon e Martin P. Loeb dell’Università del Maryland (USA) hanno sviluppato un framework economico relative all’ottimizzazione degli investimenti per proteggere un determinato set di asset. Il modello dimostra che data una perdita potenziale, l’investimento ottimale non sempre cresce al crescere del numero delle vulnerabilità che si vuole contrastare; inoltre si dimostra che la spesa ottimale per la protezione degli asset di solito è molto ridotta rispetto alle perdite previste.

Conclusioni

Sono possibili diversi modelli di ROSI e non esiste un approccio che va bene per tutte le possibili situazioni o aziende; occorre, viceversa, determinare:

• livello di esposizione
• tipi di rischio
• presenza/assenza di controlli compensative
• locazione geografica

È necessario, inoltre, raccogliere dati su:

• natura/tipo di business
• business model (business to business, business to consumer, etc.)
• funzioni critiche per il business governate dall’IT
• competitor e strategie di industry simili nei confronti dell’IT security.

È ovvio che il processo di gestione delle security metrics è una responsabilità del top management e si ricollega, in maniera integrata, alle attività di analisi dei security requirement, del risk assessment, dei product performance, dei vendor service level agreement e, specialmente, all’allineamento strategico dei piani di sicurezza con gli obiettivi generali di business.

ROSI Questionnaire

ISACA fornisce anche un questionario per facilitare il follow-up ed i commenti sulla linea guida relativa al ROSI.

Chi è Agatino Grillo?

Agatino Grillo, CISA, CISM, CISSP, fa parte del comitato direttivo di IsacaRoma. Precedentemente è stato nel comitato direttivo di AIEA. Ha scritto diversi articoli per IsacaRoma Newsletter.