Anziché concentrarci sempre sui costi necessari per investire in protezione, può essere molto utile analizzare i costi nascosti della (in)sicurezza informatica che l’azienda sarà costretta ad affrontare in caso di breach (costi vivi derivanti da un fermo operativo, costi legati alle sanzioni a cui farà fronte, ma anche costi di reputation).
Quanto gravano nel bilancio aziendale i costi imprevisti? Come gestiamo un risultato d’esercizio deludente in caso di breach? La nostra azienda può davvero permettersi di gestire una variabile di costo così decisiva?
Indice degli argomenti
Costi nascosti della (in)sicurezza informatica: il budget che non c’è
Rispondere a queste domande non è semplice e dipende, in molti casi, dalla disponibilità (non solo finanziaria) dell’azienda ad allocare risorse extra per la sicurezza informatica. Troppo spesso, infatti, alla richiesta di ulteriori investimenti ci si sente rispondere dal CFO (Chief Financial Officer) che “non c’è budget”.
In realtà, però, qual è il tipo di budget che non c’è?
Il budget che manca alle aziende, e alle PMI in particolare, è il budget per gli imprevisti.
Scrivo queste parole durante l’isolamento previsto dai Decreti Ministeriale per il contenimento del contagio da coronavirus e ammetto candidamente che sono annoiata oltre misura. Uno dei modi che ho trovato per passare il tempo è giocare a Monopoli, un gioco che detestavo da bambina ma che ho riscoperto da adulta.
Credo che uno dei motivi della riscoperta nasca dal fatto che Monopoli mi ricorda molto da vicino la vita aziendale.
Calati nei panni dell’imprenditore, abbiamo davanti a noi un percorso da affrontare, fatto di tappe. Abbiamo una banca a cui fare riferimento, nel caso in cui il budget a noi riservato non bastasse o nel caso in cui desiderassimo fare degli investimenti.
Di tanto in tanto l’imprenditore si trova a pagare tasse di lusso e deve sempre programmare gli investimenti, prestando molta attenzione alle mosse della concorrenza. Di fronte ad una proprietà da acquistare o da cedere deve negoziare e quando meno se l’aspetta si trova a dover affrontare probabilità e imprevisti.
La stessa cosa accade ogni giorno in azienda e, anche se qui le probabilità di “andare in prigione senza passare dal via” sono abbastanza remote, c’è ben poco da stare sereni.
In azienda vengono fatti ogni anno investimenti in materiali, macchinari e nelle risorse umane. Se viene redatto un budget si terrà conto dei costi fissi e si farà una stima di quelli costi variabili.
Il tutto, però, partendo da uno specifico punto di vista: si considereranno costi ed investimenti prevedibili.
Nella mia esperienza a fianco delle PMI quello che manca di solito è il budget imprevisti, che è ben diverso dal fondo rischi e oneri: la definizione dei fondi di rischio parte dalla stima che facciamo in sede di redazione delle probabilità che un evento accada e della vastità dell’impatto del suo verificarsi.
Quindi anche qui persiste un elemento di prevedibilità, di rischio calcolato e di consapevolezza di ciò che potrebbe accadere.
Il problema della PMI e del suo CFO nasce quando accade l’imprevedibile: quando l’azienda senza preavviso si ferma. Come una macchina che fa i 130 km/h in autostrada che spegniamo improvvisamente. Senza scalare la marcia e senza toccare il freno, semplicemente la spegniamo.
Il disastro è lì, riassunto nelle parole preavviso, spegnimento, ferma.
Un’azienda ferma per eventi non programmati e previsti è un’azienda nei guai.
Quanto costa il fermo dell’azienda
Quali sono oggi i motivi più plausibili per ipotizzare un fermo dell’azienda? Sicuramente i problemi di natura informatica.
In un’epoca industriale dove dalla linea di produzione al centralino, tutto passa per l’IT, un blocco operativo può avere fonti differenti:
- un componente hardware non ridondato che cessa di funzionare;
- un ransomware che mette fuori uso la rete;
- un disastro naturale (o intenzionale) che rende inutilizzabile terminali e apparati di rete.
La natura del blocco poco importa: togliamo l’IT ad un’azienda e avremmo cancellato l’azienda stessa.
La mole dei costi (imprevisti) in ogni caso diventerebbe sovrumana e difficilmente recuperabile.
Facciamo una scommessa: chiediamo a dieci imprenditori o imprenditrici quanto costa un giorno di fermo aziendale. Scommetto che 8 non sapranno darci una risposta, perché questa stima non fa parte del bagaglio culturale della PMI italiana.
Un giorno di fermo in azienda è composto da numerosi “sotto-costi” che, in quanto imprevisti, sconvolgono l’equilibrio aziendale.
Se i costi diretti, come il mancato fatturato, sono facili da individuare (non lavoro ergo non fatturo) ben altro discorso sono i costi indiretti. Eccone alcuni esempi:
- Penali per non aver rispettato i termini consegna. Quante PMI sono tenute a firmare contratti di commessa che prevendono scadenze ferree e che tutelano il committente da ritardi o mancati adempimenti? Quanto costa non rispettare queste clausole? Una volta persa una commessa, posso sperare che il medesimo committente mi contatti in futuro per una nuova trattativa?
- Sanzioni per non aver protetto i miei sistemi informativi; il GDPR parla chiaro, e non ascoltarlo è un rischio: l’azienda deve fare tutto ciò che è ragionevolmente in suo potere per tutelare i dati che da essa transitano o vengono conservati. Venire meno a questo impegno è passibile di ammenda pecuniaria.
- Sanzioni in caso di distruzione di documentazione contabile che ne rende impossibile l’accertamento da parte delle autorità: una contabilità non accertabile è motivo di salate sanzioni.
- Danno di immagine; questo tipo di danno non ci affliggerà solo in caso di data breach (sempre il GDPR ci dice che siamo tenuti a comunicare l’avvenuta fuoriuscita non regolare di dati) ma anche in caso di furto, incendio o allagamento. In base all’attività che svolgo, far emergere la notizia di una mia “mancanza” farà percepire ai miei clienti potenziali che la mia azienda non è affidabile e che i dati che mi vengono affidati non sono al sicuro. Questa percezione può trasformarsi repentinamente in perdita di clienti, e quindi di fatturato.
- Costi di struttura non coperti. Se la mia azienda si ferma improvvisamente per uno, due o tre giorni, i miei dipendenti continueranno ad essere stipendiati, pur non potendo contribuire al fatturato dell’azienda. Senza contare i costi fissi di struttura, che già per loro natura sono un onere non indifferente da sostenere e il cui rapporto con il fatturato decreta il benessere dell’azienda.
Tutto ciò è già di per sé drammatico e non stiamo ancora considerando i costi del supporto tecnico che, in caso si affidi ad un approccio break-fix, si troverà a dover intervenire in emergenza applicando una tariffa extra.
E poi ci sono i costi di recupero dati… e di solito le aziende che se ne occupano non offrono servizi, per così dire, a buon mercato.
Se ancora non è chiaro, il fermo improvviso di un’azienda è un problema soprattutto del Direttore Finanziario.
Questo potenziale disastro è prima di tutto da evitare per il bene del conto economico.
Tutti i costi diretti e indiretti elencati avranno come conseguenza ultima quella di andare ad erodere il risultato e il bene più prezioso di un’azienda: il margine.
Solo con una buona relazione tra costi e fatturato si potrà assicurare all’azienda le giuste marginalità per farla prosperare.
Costi nascosti della (in)sicurezza informatica e continuità operativa
Come impedire, quindi, che una montagna di costi imprevisti si stagli minacciosa e inquietante nel futuro dell’azienda?
Non c’è bisogno di addentrarsi nei dettagli tecnici, nel come e del perché una strategia funzioni meglio di un’altra: la continuità operativa e l’affidabilità dei sistemi informativi devono diventare argomenti cruciali al tavolo di direzione.
Non può esserci CDA che non si chieda se la politica di Business Continuity è aggiornata e adatta all’attività dell’azienda.
Non ci può essere budget aziendale senza investimenti di continuità operativa volta a proteggere i margini aziendali.
Se non facciamo uscire l’IT dal CED non potremmo mai comprenderne in fondo il potere: non solo un buon IT può far crescere un’azienda e fare da leva per il suo sviluppo, ma soprattutto può proteggere l’azienda in un modo che va al di là di ciò che è percepibile.
Se una polizza assicurativa tutela da ciò che potrebbe accadere a noi, alla nostra casa o alla nostra azienda, allora la Business Continuity deve iniziare ad essere considerata come una polizza a tutela dei margini.
Solo così la prossima carta che pescheremo al Monopoli sarà: “è il tuo compleanno, ogni giocatore ti regala 1.000 euro”.
