Palo Alto Networks riflette sul valore degli investimenti in cybersecurity e su come incidano sulla struttura amministrativa e sulla cultura aziendale dell’azienda. Per tanti CFO l’investimento in cybersecurity è un investimento perso, spesso senza un ritorno dimostrabile. Secondo un’indagine del sito KrebsonSecurity sulle 100 aziende principali a livello mondiale, solo il 5% di queste dispone al suo interno uno chief information security officer o un chief security officer.
Possono sembrare due argomenti disgiunti, ma in realtà sono strettamente legati. Infatti se un’organizzazione non vede la cybersecurity come un investimento determinante, non considererà i responsabili della sicurezza come parte del team strategico. Si tratta di un circolo vizioso che tuttavia non funziona più. Un’azienda che valuta ancora la sicurezza come un costo irrecuperabile, dovrà cambiare opinione. E se i responsabili della protezione non fanno ancora parte del team esecutivo, è giunto il momento di accoglierli con un tappeto rosso.
La sicurezza è un investimento determinante
Sean Duca, Vice President, Regional Chief Security Officer, Asia Pacific & Japan di Palo Alto Networks
La cybersecurity non è solo un costo, ma un elemento essenziale per l’innovazione e la trasformazione digitale. Pensiamo alle aziende che hanno sfruttato la tecnologia per rivoluzionare un determinato settore: Uber, Airbnb e Netflix, per citarne alcune. Senza un impegno costante e strategico rivolto alla sicurezza, i loro modelli di business non avrebbero funzionato.
Un costo senza ritorno è ciò che viene investito e non può essere recuperato. Se un’azienda valuta la cybersecurity in questo modo, corre il rischio di misurare il valore dell’investimento basato solo sulla spesa e non sui benefici apportati. La componente più pericolosa di questa visione è l’inattività, cioè pensare di essere protetti perché mai colpiti da un attacco. Tutti invece sono vulnerabili e gli investimenti in sicurezza non sono solo una polizza assicurativa in caso di disastro. Nell’economia mobile e sempre connessa, basata sui dati, la sicurezza è una tecnologia abilitante che consente di fare business. È la base di ogni attività.
Un rischio ulteriore che si corre con questo approccio è di perdere opportunità e sprecare risorse. Molte aziende acquistano tecnologie di sicurezza per rispettare la conformità o rispondere ai requisiti di un audit. La mentalità da costo senza recupero è “ora che abbiamo risolto questo problema di compliance, proseguiamo”. Il rischio è di non rendere operativo tutto il valore dell’investimento. La compliance non è la la sicurezza e, se gli investimenti vengono effettuati in quest’ottica, si utilizzerà solo il 10 o 15% delle capacità delle soluzioni adottate. È uno spreco inutile.
È importante adottare un approccio basato sui risultati degli investimenti in sicurezza, per collaborare con i partner tecnologici e raggiungere gli obiettivi di protezione e, di conseguenza, di business. Se la sicurezza è un costo irrecuperabile, il valore del partner sarà considerato inferiore, mentre in realtà è una componente inestimabile nell’ottimizzare le funzionalità e le capacità delle soluzioni installate, grazie all’esperienza sviluppata in differenti settori. È giunto il momento di considerare i responsabili di sicurezza importanti anche per la definizione delle strategie aziendali. Si tratta di costruire una cultura di cybersecurity e di riconoscere che la sicurezza non è un costo a fondo perduto, ma un investimento per il futuro della propria azienda.