A volte mi viene chiesto quale sia il valore dell'IT Security. La risposta non è semplicissima, e dipende da vari fattori, però di solito me la cavo, in prima battuta, con un paragone: avete presente che cosa significa "chiudere la stalla dopo che sono scappati i buoi"? Ecco, l'IT Security cerca, nei limiti del possibile e degli investimenti, di non far scappare i "buoi" dalla "stalla".
Un altro paragone significativo, in termini di business, è l'assicurazione furto-incendio per l'automobile. Tutti sperano di non vedersi rubare l'auto, e ugualmente tutti sono convinti che non prenderà mai fuoco, ma... Ovviamente, l'assicurazione è un mezzo esclusivamente finanziario per mitigare il danno, però è sempre meglio di niente, nella maggior parte dei casi.
Fuor di metafora, tutto ciò che si investe (perché di investimento si tratta, e non si spesa!) nell'IT Security, se amministrato con professionalità e serietà, conduce ad una migliore gestione dei vari "asset" che appartengono o transitano attraverso l'IT.
Ovviamente, esistono diversi scenari, e quindi differenti livelli di possibile investimento. Si parte dal piano minimo riservato di solito agli asset personali (per esempio: il PC di casa, o l'unico registratore di cassa di un piccolo esercizio), per arrivare a consistenti investimenti effettuati a livello Corporate, comprendenti non solo strumenti tecnici, ma anche risorse umane che elaborano policy, attività permanenti di aggiornamento (culturale, e non solo di release), scambio di conoscenze e competenze con altre realtà simili.
Nel mezzo, resta tutta la variopinta realtà di organizzazioni e aziende più piccole, me per le quali è altrettanto importante focalizzare gli investimenti di IT Security su aree di particolare interesse. Anzi, in questi scenari, proprio per la limitata disponibilità di mezzi, è importante studiare il "terreno di gioco" prima di intraprendere qualsiasi "partita".
In definitiva, che si tratti di "stalle" grandi o piccole, per ciascuno è importante non far fuggire i propri "buoi" solo perché si è sottovalutata l'analisi di IT Security (o non è stata svolta affatto). Altrimenti, si rischia concretamente prima o poi di piangere calde lacrime di coccodrillo.
