Ecco come calcolare il ritorno sull'investimento (ROI) della formazione del personale in una campagna di sensibilizzazione sulla sicurezza.
Uno studio del Dipartimento per la Cultura, i Media e lo Sport (DCMS) ha rilevato che il 39% delle aziende britanniche ha subito un attacco informatico nel 2022. Il costo di queste violazioni non è insignificante. Il rapporto del DCMS ha calcolato che l'impatto finanziario di un singolo attacco informatico costa a un'azienda di medie dimensioni 19.400 sterline. Se si considera che le organizzazioni sono quotidianamente minacciate da attacchi informatici, questo è un motivo di preoccupazione.
La formazione sulla consapevolezza della sicurezza è una delle misure che possono ridurre la probabilità che un attacco avvenga o progredisca. Questo si traduce in una riduzione dei costi di un attacco. Ma il rischio di un attacco vale il prezzo della formazione sulla consapevolezza della sicurezza?
Elementi da includere nel calcolo del ROI di una campagna di sensibilizzazione alla sicurezza
Prima di iniziare a calcolare se la formazione sulla sicurezza vale la pena, è necessario fare un inventario degli elementi inclusi. Un attacco alla sicurezza informatica e/o una violazione dei dati hanno molte parti in movimento, ognuna con costi tangibili e intangibili.
Ecco una panoramica dei costi più probabili di un attacco informatico:
Le perdite finanziarie dirette di un attacco informatico
L'impatto diretto di un attacco informatico dipende dal tipo di attacco e dall'organizzazione. Ad esempio, un attacco ransomware può comportare il pagamento di un riscatto (anche se il pagamento non è una strategia consigliata). Tuttavia, vale la pena notare che l'importo dei riscatti è aumentato negli ultimi anni.
Un rapporto di Nordlocker ha rilevato un aumento del 78% nel pagamento medio dei ransomware, portando il riscatto a un'incredibile cifra di 541.010 dollari (478.000 sterline).
I costi di un attacco informatico possono includere anche i danni ai sistemi IT, il tempo impiegato per rimediare all'attacco e le class action: nel Regno Unito, il numero di class action dopo un attacco informatico è aumentato del 120% tra il 2018 e il 2020.
Il costo medio di un attacco informatico dovrebbe essere considerato nel calcolo del ROI di una campagna di sensibilizzazione alla sicurezza. Tuttavia, questo dovrebbe anche riflettere il numero medio di attacchi all'anno. Secondo il rapporto del DCMS, il 31% delle aziende e il 26% degli enti di beneficenza ritengono di essere stati attaccati almeno una volta alla settimana.
Tempo e lavoro per contenere una violazione
Una delle conseguenze di un attacco informatico è la difficoltà di individuare la catena di exploit e di contenere i danni. Un rapporto IBM sul costo di una violazione dei dati ha rilevato che il tempo medio per contenere una violazione nel 2022 è di 277 giorni. In questo lasso di tempo, i costi si accumulano.
Nel calcolo del ROI di una campagna di sensibilizzazione alla sicurezza è necessario includere i tempi di inattività dei sistemi IT, l'assistenza IT e le perdite di produttività stimate.
Danni alla reputazione
Il danno alla reputazione è intangibile e, pertanto, difficile da quantificare. Tuttavia, sono molti i fattori che entrano in gioco dopo un attacco informatico che provoca una reputazione negativa. Tra questi, una generale perdita di fiducia che si ripercuote sui clienti, sul prezzo delle azioni e sull'ecosistema dei partner.
Questa perdita di fiducia si acuisce quando i clienti abbandonano un'azienda dopo una violazione. Uno studio di YouGov e Okta ha rilevato che l'88% dei clienti smetterà di utilizzare un'azienda se ritiene che non ci si possa fidare della protezione dei propri dati.
I danni alla reputazione sono difficili da quantificare e quindi da aggiungere a un'equazione, ma potreste disporre di alcuni dati sulla perdita di clienti a causa delle soluzioni di business intelligence (BI).
Non conformità e multe
Diverse normative sulla protezione dei dati, tra cui PCI-DSS e GDPR, impongono o incoraggiano fortemente l'uso della formazione sulla sicurezza. Pertanto, se potete dimostrare che la vostra organizzazione utilizza la formazione di sensibilizzazione alla sicurezza, qualsiasi successiva azione di applicazione della normativa dovrebbe tenerne conto.
Tuttavia, quando si calcola il ROI di una campagna di sensibilizzazione sulla sicurezza, è necessario tenere conto del costo tipico di una multa per non conformità nel vostro settore.
L'Information Commissioner's Office (ICO) può indicare il livello di ammende che potrebbero colpire la vostra azienda in seguito a una violazione. Ad esempio, il GDPR e il DPA 2018 del Regno Unito stabiliscono una multa massima di 17,5 milioni di sterline o del 4% del fatturato globale annuo.
Premi assicurativi
Secondo uno studio dell'assicuratore Hiscox, il 63% delle aziende britanniche prevede di acquistare un'assicurazione informatica come parte della propria strategia. Inoltre, i premi possono essere ridotti se si riduce il rischio formando i dipendenti alla consapevolezza della sicurezza.
Aggiungete il costo dell'assicurazione informatica al ROI di una campagna di sensibilizzazione alla sicurezza come parte dei costi complessivi della vostra strategia di sicurezza.
Altri costi del ROI includono:
- Il costo del pacchetto di formazione ed eventuali funzioni aggiuntive, come la simulazione di phishing.
- Costi amministrativi per la gestione del programma.
- Tempo perso a causa di un dipendente che esegue esercizi di formazione sulla consapevolezza della sicurezza.
Come calcolare il ROI della formazione sulla sicurezza informatica
Una volta ottenuti i dati, è possibile inserirli in un'equazione del ROI. Fortunatamente, qualcuno ha già studiato come generare un'equazione per la formazione sulla consapevolezza della sicurezza.
L'equazione del ROI, nella sua forma più semplice, si presenta così:
ROI = Calcolo del ROI delle campagne di sensibilizzazione alla sicurezza
Dove:
R = Rendimento (beneficio)
I = Investimento (costo)
Tuttavia, come si è visto, il calcolo dell'R e I per la sicurezza è più complicato, in quanto vi sono costi intangibili come il danno alla reputazione.
Fortunatamente, gli operatori del settore della sicurezza si sono occupati della complessità del calcolo del ROI per gli investimenti nella formazione sulla sicurezza. Michael Coden, ad esempio, utilizza una ricerca del Massachusetts Institute of Technology (MIT).
Uno studio del MIT basa il calcolo dei costi degli incidenti di sicurezza informatica sulle fasi che portano a un incidente di sicurezza informatica. Questa ricerca è stata utilizzata per sviluppare un framework noto come STACHT. Utilizzando questo framework, Coden ha sviluppato un'equazione per il ROI dei progetti di cybersecurity (come le campagne di formazione sulla sicurezza) che include:
Dove:
Probabilità di una compromissione (PC) = minacce moltiplicate per le vulnerabilità
Impatto di una compromissione (IC) = asset moltiplicato per le perdite se si verifica una compromissione
L'equazione di Coden viene utilizzata per ogni progetto e indica il probabile ROI basato sulle stime.
Una visione più qualitativa del ROI delle campagne di sensibilizzazione alla sicurezza
Sappiate che per calcolare il ROI di una formazione di sensibilizzazione alla sicurezza potrebbe non essere sufficiente inserire i dati in un'equazione. Invece, la semplice compilazione di un elenco di costi e impatti potenziali di un attacco informatico può essere sufficiente a dimostrare che la formazione sulla sicurezza vale la pena.
Gli esseri umani continuano a essere al centro dell'attenzione dei criminali informatici; se c'è un modo per interrompere questo ciclo, ciò porterà naturalmente a una riduzione dei rischi e dei costi.
Un rapporto di Osterman ha definito la formazione sulla sicurezza informatica "essenziale" per prevenire gli attacchi informatici. Il rapporto evidenzia l'efficacia della formazione in materia di sicurezza, con dati che dimostrano, ad esempio, che solo l'11% dei dipendenti era in grado di riconoscere un'e-mail di phishing prima della formazione, ma che dopo la formazione il 64% era in grado di individuare i tentativi di phishing. Prove di questo tipo possono essere molto efficaci per valutare i vantaggi di una campagna di sensibilizzazione sulla sicurezza.