venerdì, marzo 16, 2007

La dimensione economica della sicurezza delle informazioni (parte 2^): il Net Present Value

Leggi la prima parte

Molte volte mi è stato chiesto di ragionare in termini finanziari anche per giustificare un progetto inerente la sicurezza delle informazioni: sebbene si tratti di misure indispensabili per l'azienda dei giorni nostri, devono comunque essere anche frutto di decisioni ponderate economicamente.
Dopo aver introdotto l'argomento nella prima parte, oggi approfondiremo come determinare il valore reale di un investimento nel tempo, sottraendo il totale di tutti i risparmi stimati e scontati ai costi associati all'investimento nel tempo, anch'essi scontati. Il risultato è l’NPV (Net Present Value, o in italiano, il Valore Attuale Netto).

Per calcolarlo si inizia stimando la vita utile dell’acquisto, calcolando i relativi costi e benefici e considerando la spesa iniziale. In ultimo, si scontano costi e benefici futuri per tutta la durata dell’intervallo di tempo dell'investimento.
Supponiamo che una società debba implementare una nuova procedura di sicurezza e prevede che i risparmi che deriveranno dalla extra-sicurezza siano gli stessi per diverse opzioni (diversi tipi di firewall o di antivirus, ad esempio). In questo caso avrà senso scegliere la configurazione meno coctosa.
Nelle aziende, per confrontare il costo di diverse opzioni, è necessario tener conto del valore attuale dei costi: consideriamo due opzioni con un costo totale di 100000 € in termini assoluti in due anni. Supponiamo che la prima opzione costi 75000 € il primo anno (dovuto a una spesa di capitale consistente) e 25000 alla fine del secondo anno.
L’opzione B, invece avrà dei flussi di cassa pari a 50000 € al termine di ciascun anno.
Utilizziamo la formula canonica per il calcolo del NPV:

NPV = FC1/(1+i)1 + FC2/(1+i)2 + FC3/(1+i)3 + … FCn/(1+i)n
Dove:
FC = flusso di cassa
i = tasso d'interesse di sconto
n = numero dei periodi

Considerando un tasso di sconto del 7%, l’opzione A costerà € 91.929,43, mentre l’opzione B € 90.400,91. L’opzione A è quindi più costosa considerando il valore del denaro del tempo.

Se supponiamo che il NPV dei benefici sia di 95000 €, notiamo che l’opzione B è più vantaggiosa poiché ha un NPV positivo di 4599,09 e l’opzione A di 3070,57 Questo dimostra che considerare il valore nel tempo del denaro, nella fase di confronto delle alternative, è più indicato che calcolare solo i benefici. E’ possibile infatti che un investimento risulti peggiore utilizzando l’NPV come metrica e migliore utilizzando il ROI, sebbene possa essere vero anche il contrario. Ovviamente anzichè considerare il rendimento dell’investimento nel caso dei sistemi di sicurezza si parlerà di mancate perdite: queste dovranno essere stimate sulla base delle best practice che la letteratura ci propone.

I costi diretti asssociati alla prevenzione e al recupero dai crimini informatici(sistemi di analisi delle intrusioni, minor produttività, lavoro straordinario dello staff IT, etc), sono diventati parte dei processi aziendali, e raramente intaccano le revenues di un’azienda o il prezzo delle sue azioni.
Il vero danno finanziario dei crimini informatici risiede nella violazioni della riservatezza: queste vulnerabilità possono comportare una migrazione dei clienti, diminuire le revenue, gli investitori e gli analisti possono considerare di abbassare le stime del valore dell’azione della società.
E’ un costo indiretto e la società paga solo quando i clienti percepiscono che la fiducia che ponevano nei confronti dell'azienda è stata disattesa.
L’opinione pubblica, nonostante sia guidata dal modo in cui vengono presentate le notizie e quindi dai giornalisti, sta cominciando a comprendere la differenza tra un defacement del sito di una banca e una fuoriuscita di informazioni, ma sebbene il primo tipo di attacco sia di pericolosità limitata, perchè riguarda solo la home page di un'azienda, può comportare delle ripercussioni sull'immagine della stessa, perchè viene considerato irriducibilmente come una falla nella sicurezza aziendale. La modifica della home page del proprio sito non è sicuramente gradevole, ma la fuoriuscita di informazioni può avere ripercussioni sicuramente drammatiche, sebbene sia un'attività piuttosto ardua per un attaccante esterno senza la complicità di un interno alla struttura aziendale (se ne è parlato in questo articolo).

Stefano Bonacina, da conneXioni

Nessun commento: