Costo del rischio e costo della sicurezza informatica

A fronte della possibilità di proteggere i nostri dati, cerchiamo di capire, sotto il punto di vista manageriale, quale possa essere il grado di sicurezza che il progetto richiede: ipotizziamo a tal fine che il livello di sicurezza da preventivare dipenda solo dal valore dei dati, trascurando altri fattori di per sé minori. Teniamo in considerazione inoltre che un eccessivo livello di sicurezza rende il prodotto finale poco usabile: immaginiamo il caso in cui una login richieda tre password, oppure l’inserimento di un codice di controllo ogni quarto d’ora.

Diamo per scontate le basilari regole dell’ingegneria del software per cui apportare delle modifiche al progetto in fase di sviluppo implica un costo (costo sicurezza informatica) che non è trascurabile. Inoltre il processo di progettazione dell’applicazione è ciclico.

Affrontando un progetto per la realizzazione di un servizio basato su tecnologia Internet, sono di primaria importanza l’analisi della riservatezza delle informazioni trattate e l’identificazione di quale sia il corretto livello di sicurezza da realizzare. Chiaramente, il costo dell’infrastruttura di sicurezza è intimamente legato al livello di affidabilità che si vuole raggiungere; dare specifiche di tutela troppo stringenti se comparate alla riservatezza dei dati contenuti nel sistema può comportare uno spreco di risorse superiore al danno potenziale del furto delle informazioni stesse. È quindi sempre necessario relazionare lo sforzo economico previsto con il potenziale danno che si potrebbe subire a seguito di un attacco di tipo informatico.