Come quantificare il rischio umano per chiedere budget al CFO

Vista cenital de una mesa de directorio en madera cálida con luz dorada. A un lado, papeles dispersos con gráficos de barras difusos; una mano que viste camisa desliza hacia el centro una única tarjeta limpia, frente a una silla vacía.
Mauro Sánchez Blog Nessun commento

Come quantificare il rischio umano per chiedere budget al CFO

A ogni ciclo di budget si ripete la stessa scena nelle organizzazioni con cui lavoriamo. Il responsabile della sicurezza prepara la richiesta per il programma di Cybersecurity awareness, la presenta con tassi di clic e corsi completati, e il direttore finanziario ascolta con cortesia prima di approvare il minimo indispensabile. Il CFO capisce il rischio. Ciò che non gli arriva è una cifra nella lingua che parla ogni giorno per allocare il capitale.

Dirigo il team di ingegneria di SMARTFENSE e il mio compito è pensare a come i dati del programma arrivano a chi decide. Da quella posizione vedo che il problema raramente è l’importo richiesto. È la lingua. Il responsabile della sicurezza parla di comportamento e il CFO ragiona in perdite attese, ritorno e costo evitato. Finché la richiesta non viene tradotta in quella valuta, compete in svantaggio rispetto a ogni progetto che invece è arrivato espresso in euro.

Ecco come funziona quella traduzione, quali condizioni deve soddisfare il dato perché il CFO lo prenda sul serio, e perché la paura è l’argomento peggiore per sostenere una voce di budget.

Perché il CFO non approva un budget di awareness presentato con i tassi di clic?

Perché un tasso di clic non è una cifra finanziaria. Il CFO ordina ogni richiesta dell’organizzazione confrontando il capitale che consuma con il valore che restituisce, e per questo servono numeri nella stessa unità. Una percentuale di comportamento lo costringe a fare lui stesso la conversione in denaro, e raramente ha il contesto per farla bene.

Quando la richiesta di awareness arriva come “abbiamo dimezzato il tasso di clic”, il CFO non sa quanto vale quel cambiamento. Non perché non lo capisca, ma perché nessuno gli ha detto quanto rischio monetario rappresenta ogni punto. La richiesta dell’unità di business accanto, invece, arriva già con il suo ritorno calcolato. La decisione pende da sola verso chi ha fatto il lavoro di traduzione.

Il responsabile della sicurezza spesso legge quell’esito come una mancanza di impegno del comitato verso la cybersecurity. La mia lettura, dal lato dei dati, è più semplice. Il comitato alloca ciò che può confrontare, e un programma descritto con metriche di attività è proprio ciò che non si può confrontare con il resto del budget.

È lì che appare il primo errore di inquadramento. Finché la richiesta viaggia con l’etichetta di Cybersecurity awareness, il comitato la archivia come una spesa di attività che si ripete ogni anno. La gestione del rischio umano (Human Risk Management) imposta le cose in modo diverso. Tratta il comportamento delle persone come un rischio misurabile, che si gestisce e si riduce con un numero che il CFO può seguire trimestre dopo trimestre. Cambiare l’etichetta fa un lavoro reale, perché sposta la conversazione dal terreno dell’attività a quello del rischio, dove il CFO alloca il capitale.

Cosa significa quantificare il rischio umano in linguaggio finanziario?

Quantificare il rischio umano in linguaggio finanziario significa esprimere l’esposizione dell’organizzazione agli errori delle sue persone come una perdita monetaria attesa. È la probabilità che si verifichi un incidente originato da una persona, moltiplicata per il costo stimato di quell’incidente, e il modo in cui quel numero si muove quando si investe nel programma.

Non è un esercizio di precisione contabile. Nessuno si aspetta che il responsabile della sicurezza azzecchi il costo esatto di una violazione che non è ancora avvenuta. Ciò di cui il CFO ha bisogno è direzione e ordine di grandezza: se stiamo parlando di un’esposizione di decine di migliaia o di diversi milioni, e se l’investimento proposto muove quel numero in modo sostanziale o marginale.

La differenza rispetto al report abituale è di inquadramento. Il report operativo descrive ciò che è successo nell’ultima campagna. La cifra finanziaria descrive ciò che è in gioco in avanti e ciò che cambia a seconda della decisione presa in quella riunione. Uno guarda allo specchietto retrovisore, l’altra attraverso il parabrezza, e il CFO guida guardando avanti.

Come si traduce il rischio umano in una cifra che il CFO capisce?

La traduzione ha cinque passaggi, e nessuno richiede di inventare dati. Richiede di collegare quelli che hai già a una fonte di costo credibile.

  1. Parti da una probabilità osservabile. Usa il rischio umano aggregato del programma, quello che nasce dal combinare risultati delle simulazioni, comportamento reale ed esposizione per area. È un numero che la piattaforma già calcola e che ha una storia, non una stima da corridoio.
  2. Ancora il costo dell’incidente a una fonte pubblica. Invece di proporre una cifra tua, prendi il riferimento da un report neutrale e riconosciuto come il Cost of a Data Breach di IBM o il Verizon Data Breach Investigations Report, e scegli il valore del settore e della regione che corrispondono alla tua organizzazione. Il CFO si fida prima di una fonte esterna che di un numero interno.
  3. Calcola la perdita attesa. Moltiplica la probabilità per il costo. Quel prodotto è la cifra che appartiene alla conversazione finanziaria, perché è nella stessa unità del resto dei rischi che il comitato già gestisce.
  4. Mostra la sensibilità, non solo il livello. Il CFO non compra un numero statico. Compra di quanto scende la perdita attesa se il rischio umano cala di una quantità concreta dopo l’investimento. Quella pendenza è ciò che trasforma una spesa in una leva.
  5. Presenta il programma come riduzione della perdita attesa. La richiesta finale passa da “mi serve budget per l’awareness” a “con questo investimento, la perdita attesa da rischio umano scende in modo sostanziale nel prossimo ciclo”. È lì che il programma smette di essere una voce di costo e diventa una decisione di investimento.

Nessuno di questi passaggi richiede un modello finanziario sofisticato. Richiede la disciplina di non saltare la traduzione e di non riempire con cifre inventate i vuoti dove manca il dato.

Come si chiede budget senza ricorrere alla paura?

Si chiede mostrando il costo del non decidere, non la catastrofe. La paura ottiene un’approvazione una tantum il giorno in cui appare un titolo su un attacco, e svanisce al ciclo successivo. Un controfattuale quantificato ottiene qualcosa di più prezioso, una voce di budget che regge anche quando in quel trimestre non è successo nulla di grave.

La domanda che sposta di più l’ago mette da parte il “cosa succede se ci attaccano?” e punta ad altro, “come evolve la nostra perdita attesa se non facciamo nulla nel prossimo anno?”. Quella proiezione obbliga a trattare la gestione del rischio umano come un asset che si deprezza se non viene mantenuto, e dà al CFO esattamente il tipo di ragionamento con cui è a suo agio. Il costo dell’inazione, messo in numeri, pesa più di qualsiasi scenario drammatico.

Costruire quell’argomento è lavoro da business case, non da allarme. Se vuoi approfondire come ottenere il sostegno del vertice senza appoggiarti allo spavento, abbiamo scritto su come ottenere il sostegno del vertice con i business case. La logica è la stessa di qualsiasi investimento: confrontare il costo di agire con il costo di non farlo.

Quali dati della piattaforma sostengono quella conversazione?

Tutta questa traduzione crolla se il numero di partenza arriva vecchio o costa una settimana di lavoro da assemblare. Perché il responsabile della sicurezza possa sedersi davanti al CFO con una perdita attesa difendibile, il programma ha bisogno di tre cose: un rischio umano aggregato che si aggiorni da solo, la capacità di proiettare quel numero in avanti, e la possibilità di rispondere a una nuova domanda nella stessa riunione senza tornare al foglio di calcolo.

Quella freschezza del dato è un problema di piattaforma prima che di criterio. Sul primo punto, cosa misurare per arrivare a un rischio umano aggregato che abbia senso, abbiamo già scritto in dettaglio: vale la pena leggere se il tuo programma di awareness sta misurando ciò che conta. Sul secondo, come quel dato arriva fresco al comitato senza quattro ore di tabelle pivot, lo abbiamo raccontato dal lato dell’ingegneria in perché il report di awareness arriva tardi al comitato.

Quel livello di risposta in tempo reale lo risolviamo in SMARTFENSE con una funzionalità che chiamiamo Insight Agent, oggi nella sua fase di early adopter. Permette di formulare in linguaggio naturale la domanda che il CFO ha appena posto e ottenere la cifra e la sua sensibilità senza ricostruire il report. Il protagonista di questa conversazione resta la traduzione del rischio in denaro, che è criterio umano. La piattaforma si occupa solo di rendere disponibile il numero che sostiene quella traduzione quando serve e non due settimane dopo. Se vuoi vederlo sui tuoi dati, scrivici per unirti al programma o scopri il resto della piattaforma.

Il responsabile della sicurezza che esce dalla riunione del comitato con meno budget di quello che ha chiesto raramente ha perso per mancanza di argomenti tecnici. Ha perso perché ha presentato in una valuta che il CFO non usa per allocare il capitale. Tradurre il rischio umano in perdita attesa non garantisce un sì. Ma mette la conversazione sull’unico terreno dove il sì è possibile.

Domande frequenti

Cosa significa quantificare il rischio umano in linguaggio finanziario?
Significa esprimere l’esposizione dell’organizzazione agli errori delle sue persone come una perdita monetaria attesa: la probabilità di un incidente originato da una persona moltiplicata per il suo costo stimato, e come quel numero cambia con l’investimento nel programma di gestione del rischio umano.

Perché il CFO non approva budget di awareness presentati con i tassi di clic?
Perché un tasso di clic non è nell’unità che il CFO usa per confrontare le richieste. Alloca il capitale confrontando il costo con il valore restituito, e una percentuale di comportamento lo costringe a tradurre in denaro senza il contesto per farlo. La richiesta che arriva già convertita in perdita evitata compete meglio.

Quale fonte usare per stimare il costo di un incidente?
Conviene ancorare il costo a un report pubblico e neutrale come il Cost of a Data Breach di IBM o il Verizon Data Breach Investigations Report, scegliendo il valore del settore e della regione pertinenti. Una fonte esterna riconosciuta genera più fiducia di una cifra interna.

Come si chiede un budget di cybersecurity senza ricorrere alla paura?
Mostrando il costo del non decidere invece della catastrofe. Un controfattuale quantificato, di quanto cresce la perdita attesa se non si investe nel prossimo ciclo, sostiene una voce di budget stabile, mentre la paura ottiene solo approvazioni una tantum che svaniscono il trimestre successivo.

Share:

Share on LinkedIn Share on Pinterest Share on WhatsApp
Tag Articolo :

Mauro Sánchez

CTO de SMARTFENSE, lidera los equipos de ingeniería y desarrollo. Especialista en materia de ciberseguridad e infraestructura, siendo el encargado de definir y concretar las integraciones y alianzas tecnológicas estratégicas de SMARTFENSE con diferentes soluciones. Más de 20 años avalan su experiencia en la toma de decisión e implementación de medidas de seguridad y tecnología.

Lascia un commento

Ricerca

Articoli recenti

Nuvola di tag

awareness cambiamento comportamentale ciso compliance consigli contenuti Cybersecurity awareness ingegneria sociale phishing ransomware rapporti rischio umano Sicurezza informatica smartfense Training in Cybersecurity awareness

Blog in Spagnolo

Nel blog in spagnolo abbiamo centinaia di articoli da leggere

Vai al Blog in Spagnolo