Calcolo del ROI delle campagne di sensibilizzazione sulla sicurezza
Pubblicato su: 2 Nov 2022
Ultima modifica il: 8 Set 2025
Ecco come calcolare il ritorno sull’investimento (ROI) della formazione del tuo personale con una campagna di sensibilizzazione sulla sicurezza.
Uno studio del Il Dipartimento per la Cultura, i Media e lo Sport (DCMS) ha rilevato che il 39% delle aziende del Regno Unito ha subito un attacco informatico nel 2022. Il costo di queste violazioni non è trascurabile. Il rapporto del DCMS ha calcolato che l’impatto finanziario di un singolo attacco informatico costa a un’azienda di medie dimensioni 19.400 sterline. Se si considera che le organizzazioni sono quotidianamente minacciate da attacchi informatici, questo è un motivo di preoccupazione.
La formazione sulla consapevolezza della sicurezza è una delle misure che possono ridurre la probabilità che un attacco avvenga o si sviluppi. Questo si traduce in una riduzione dei costi di un attacco. Ma il rischio di un attacco vale il prezzo della formazione sulla sicurezza?
Elementi da includere nel calcolo del ROI di una campagna di sensibilizzazione alla sicurezza
Prima di iniziare a calcolare se la formazione sulla sicurezza vale la pena, è necessario fare un inventario degli elementi inclusi. Un attacco alla sicurezza informatica e/o una violazione dei dati hanno molte parti in movimento, ognuna con costi tangibili e intangibili.
Ecco una panoramica dei costi più probabili di un attacco informatico:
La perdita finanziaria diretta di un attacco informatico
L’impatto diretto di un attacco informatico dipende dal tipo di attacco e dall’organizzazione. Ad esempio, un attacco ransomware può comportare il pagamento di un riscatto (anche se il pagamento non è una strategia consigliata). Tuttavia, vale la pena notare che l’ammontare dei riscatti è aumentato negli ultimi anni.
Un rapporto di Nordlocker ha rilevato un aumento del 78% nel pagamento medio dei ransomware, portando il riscatto a un’incredibile cifra di 541.010 dollari (478.000 sterline).
I costi di un attacco informatico possono includere anche i danni ai sistemi informatici, il tempo impiegato per rimediare all’attacco e le class action: nel Regno Unito, il numero di class action dopo un attacco informatico è aumentato del 120% tra il 2018 e il 2020.
Il costo medio di un attacco informatico dovrebbe essere considerato nel calcolo del ROI di una campagna di sensibilizzazione alla sicurezza. Tuttavia, questo dovrebbe anche riflettere il numero medio di attacchi all’anno. Secondo il rapporto del DCMS, il 31% delle aziende e il 26% degli enti di beneficenza ritengono di essere stati attaccati almeno una volta alla settimana.
Tempo e lavoro per contenere una violazione
Una delle conseguenze di un attacco informatico è la difficoltà di individuare la catena di exploit e di contenere i danni. Un Il rapporto IBM sul costo di una violazione dei dati ha rilevato che il tempo medio per contenere una violazione nel 2022 è di 277 giorni. In questo lasso di tempo, i costi si accumulano.
Nel calcolo del ROI di una campagna di sensibilizzazione alla sicurezza devi includere i tempi di inattività dei sistemi IT, l’assistenza IT e le perdite di produttività stimate.
Danni alla reputazione
I danni alla reputazione sono intangibili e, pertanto, difficili da quantificare. Tuttavia, sono molti i fattori che entrano in gioco dopo un attacco informatico che provoca una reputazione negativa. Tra questi, una generale perdita di fiducia che si ripercuote sui clienti, sul prezzo delle azioni e sull’ecosistema dei partner.
Questa perdita di fiducia si accentua quando i clienti abbandonano un’azienda dopo una violazione. A Lo studio di YouGov e Okta ha rilevato che l’88% dei clienti smetterà di utilizzare un’azienda se ritiene che non ci si possa fidare della protezione dei propri dati.
I danni alla reputazione sono difficili da quantificare e quindi da aggiungere all’equazione, ma potresti avere dei dati sulla perdita di clienti a causa delle soluzioni di business intelligence (BI).
Non conformità e multe
Diverse normative sulla protezione dei dati, tra cui PCI-DSS e GDPR, impongono o incoraggiano fortemente l’uso della formazione sulla sicurezza. Pertanto, se puoi dimostrare che la tua organizzazione utilizza la formazione di sensibilizzazione alla sicurezza, qualsiasi azione di controllo successiva dovrebbe tenerne conto.
Tuttavia, quando si calcola il ROI di una campagna di sensibilizzazione sulla sicurezza, è necessario tenere conto del costo tipico di una multa per mancata conformità nel tuo settore.
L’Information Commissioner’s Office (ICO) può indicarti il livello delle multe che potrebbero colpire la tua azienda in seguito a una violazione. Ad esempio, il GDPR e il DPA 2018 del Regno Unito stabiliscono una multa massima di 17,5 milioni di sterline o del 4% del fatturato globale annuo.
Premi assicurativi
Secondo uno studio condotto dagli assicuratori Hiscox, il 63% delle aziende britanniche prevede di acquistare un’assicurazione informatica come parte della propria strategia. Inoltre, i premi possono essere ridotti se si riduce il rischio formando i dipendenti alla consapevolezza della sicurezza.
Aggiungi il costo dell’assicurazione informatica al ROI di una campagna di sensibilizzazione alla sicurezza come parte dei costi complessivi della tua strategia di sicurezza.
Altri costi del ROI includono:
- Il costo del pacchetto formativo e di eventuali funzioni aggiuntive, come la simulazione di phishing.
- Costi amministrativi per la gestione del programma.
- Tempo perso a causa di un dipendente che esegue esercizi di formazione sulla consapevolezza della sicurezza.
Come calcolare il ROI della formazione sulla sicurezza informatica
Una volta che hai i dati, puoi inserirli in un’equazione del ROI. Fortunatamente, qualcuno ha già studiato come generare un’equazione per la formazione sulla sicurezza.
L’equazione del ROI, nella sua forma più semplice, si presenta così:
ROI = Calcolo del ROI delle campagne di sensibilizzazione sulla sicurezza
Dove:
R = Rendimento (beneficio)
I = Investimento (costo)
Tuttavia, come hai visto, il calcolo dell’R e dell’I per la sicurezza è più complicato perché ci sono costi intangibili come il danno alla reputazione.
Fortunatamente, alcuni operatori del settore della sicurezza si sono occupati della complessità del calcolo del ROI per gli investimenti nella formazione sulla sicurezza. Michael Coden, ad esempio, utilizza una ricerca del Massachusetts Institute of Technology (MIT).
Uno studio del MIT basa il calcolo dei costi degli incidenti di sicurezza informatica sulle fasi che portano a un incidente di sicurezza informatica. Questa ricerca è stata utilizzata per sviluppare un quadro di riferimento noto come STACHT. Utilizzando questo quadro, Coden ha sviluppato un’equazione per il ROI dei progetti di cybersecurity (come le campagne di formazione sulla sicurezza) che comprende:
Dove:
Probabilità di una compromissione (PC) = minacce moltiplicate per le vulnerabilità
Impatto di una compromissione (IC) = attività moltiplicata per le perdite se si verifica una compromissione
L’equazione di Coden viene utilizzata per ogni progetto e indica il probabile ROI basato sulle stime.
Una visione più qualitativa del ROI delle campagne di sensibilizzazione alla sicurezza
Tieni presente che per calcolare il ROI di una formazione sulla sicurezza potrebbe non bastare inserire i dati in un’equazione. Invece, la semplice stesura di un elenco di costi e impatti potenziali di un attacco informatico può essere sufficiente a dimostrare che la formazione sulla sicurezza vale la pena.
Gli esseri umani continuano a essere al centro dell’attenzione dei criminali informatici; se c’è un modo per interrompere questo ciclo, ciò porterà naturalmente a una riduzione dei rischi e dei costi.
Un Il rapporto Osterman ha definito la formazione sulla sicurezza informatica “essenziale” per prevenire gli attacchi informatici. Il rapporto evidenzia l’efficacia della formazione in materia di sicurezza: i dati dimostrano, ad esempio, che prima della formazione solo l’11% dei dipendenti era in grado di riconoscere un’e-mail di phishing, ma dopo la formazione il 64% era in grado di individuare i tentativi di phishing. Prove di questo tipo possono essere molto efficaci per valutare i vantaggi di una campagna di sensibilizzazione sulla sicurezza.
