Gli ingredienti necessari per fare in modo che un budget venga approvato sono innanzitutto capirne logiche e funzionamento, avere obiettivi chiari, meglio se di lungo periodo e trasversali all’organizzazione, trovare alleati, dotarsi di una buona capacità comunicativa e di qualche sensazionale metrica.
Le metriche più efficaci per farsi approvare un robusto budget IT
L’importanza delle metriche
In fase di approvazione di un budget l’interlocutore tipico è il management, che spesso ha un background economico, sovente ragiona per metriche e molto probabilmente vi si trova a suo agio. Soprattutto apprezza che le diverse funzioni aziendali facciano uno sforzo per misurare il pregresso, gli avanzamenti e gli obiettivi futuri delle proprie attività. Per il management diverrà semplice valutare o ipotizzare il ROI, il ritorno dell’investimento su un progetto, corredato da KPI (Key performance indicator).
Il marketing, per il proprio budget, riempirà le proprie presentazioni con metriche, quali il tasso di acquisto di un nuovo lead, il tasso di abbandono dei clienti, il rapporto CAC/LTV (Customer Acquistion Cost / LifeTime Value). Le vendite a loro volta si avvarranno di metriche quali le percentuali di chiusura contratti, il valore medio dei contratti oppure il NPS (Net Promote Score).
E perché l’IT non dovrebbe averne di simili, per la sicurezza informatica? E perché, si chiederà il management, anche l’IT non misura le performance della sicurezza informatica? Scoprire come rendere le metriche di sicurezza semplici e autoparlanti come quelle del mondo degli affari, sarà una sfida provante ma sicuramente utile per l’IT.
Il problema per il management non è strettamente monetario o di costi, il lavoro del management è proprio quello, allocare risorse e definire costi. Tutto ha un costo, acquisire un nuovo cliente ha un costo, migliorare la visibilità del brand ha un costo, la sicurezza informatica ha un costo. Il problema per il management è di comprensione.
Il management vuole capire come e cosa finanzia, vuole capire se i fondi sono stati utilizzati efficacemente. La sicurezza informatica per il management talvolta è complessa, criptica ed eccessivamente tecnica. Le metriche e la loro visualizzazione in formato grafico all’interno di un powerpoint ben fatto, renderanno semplice per il management comprendere convenienza e accettazione di tali voci di costo.
Le metriche maggiormente utili potrebbero essere quelle più inaspettate dal punto di vista di un esperto di cybersecurity. Le metriche più interessanti per l’IT potrebbero non dire nulla al management. I KPI con cui popolare la propria presentazione per l’approvazione del budget andranno pensati appositamente per persone non tecniche, affinché siano comprensibili ed auto esplicativi per chi non si occupa quotidianamente di cybersecurity.
Come funziona un budget
Fare lo sforzo di presentare correttamente i propri dati al management è essenziale, soprattutto alla luce di come solitamente viene strutturato un budget.
Proviamo a capire le logiche – con semplicità e senza essere esperti di contabilità – di quello che potrebbe essere il budget di una qualsiasi organizzazione per la quale l’IT è un processo di supporto e non il proprio core business.
Molte organizzazioni seguono un processo annuale per determinare i budget di ciascun dipartimento e, in questo contesto, il team di sicurezza è uno dei tanti che competono per l’allocazione di quello che in definitiva è un budget scarso, con vincoli di spesa e condizioni finanziarie spesso di breve periodo.
Di norma chi si occupa del budgeting, per comodità o confrontabilità storica, preferisce dividere l’organizzazione in grandi aree di finanziamento. S&M (vendite e marketing), R&S (ricerca e sviluppo) e G&A (generale e amministrativo). Balzerà subito all’occhio che il grande assente è proprio l’IT. La prassi operativa stratificata negli anni ha declinato in queste tre grandi aree le voci di sostenibilità aziendale, l’IT è cosa relativamente nuova e la sicurezza informatica lo è ancora di più.
Le quantificazioni delle risorse necessarie per queste tre macroaree saranno tutto sommato cosa semplice per chi si occupa di programmazione contabile, per S&M verrà stimata una percentuale di scarto corrispondente agli obiettivi di entrate previsti per l’anno a venire, per R&S si ragionerà in ottica di sviluppo prodotto e/o funzionalità, per G&A si verificherà di avere le dovute coperture per spese abbastanza consolidate.
Chi si occupa di redigere il budget potrebbe dunque trascurare l’IT, semplicemente perché non lo ha mai inserito correttamente nelle proprie allocazioni di spesa, oppure perché abituato a farsi condizionare dal numero di dipendenti che, per l’IT, è spesso scarso. Oppure è influenzato dal peso specifico che i singoli settori hanno nella compartecipazione alla generazione delle entrate, che per l’IT è solitamente ed erroneamente non contemplato.
Un altro elemento che rende complessa l’allocazione delle giuste risorse all’IT è l’incapacità di avere una chiara visione su come e dove il budget IT viene allocato. Gli asset e i servizi IT – essendo voci di costo operative e di lavoro – sono ripartiti in parte direttamente sulle funzioni fruitrici, in ragione del consumo effettivo, derubricando la sicurezza informatica a voce di costo secondaria.
I costi della sicurezza informatica sono composti da numerose voci, una combinazione di costi legati al personale e alle spese di fornitura consulenziali o tecnologiche, e vengono allocate in spese di capitale e spese operative, soggiacendo così a diversi principi contabili.
Per il management, dati tutti gli elementi sopra descritti ed altri ancora specifici per ogni realtà, sarà estremamente complessa l’opera di quantificazione dei corretti valori di costo da mettere a budget. Il rischio è che la patata bollente del budget per l’IT venga messa da parte mentre gli altri budget settoriali vengono validati ed approvati.
Se un primo possibile accorgimento, come visto, è redigere metriche accurate, auto esplicative e d’impatto, sarà utilissimo fare chiarezza e dipanare la complessità intrinseca qui descritta.
Sicurezza informatica, definire gli obiettivi per impostare il budget: ecco come fare
Perché definire obiettivi per la strategia di cybersecurity
Far chiarezza sugli obiettivi della strategia di cybersecurity è fondamentale. A obiettivi chiari, solitamente corrispondono strategie ben definite e risorse di finanziamento adeguato. Se, al contrario, le finalità dell’infrastruttura IT non sono ben declinate, si avranno consequenziali azioni non coordinate e resistenze da parte del management a finanziare interventi, che appariranno non integrati in un percorso di sviluppo omogeneo.
Un obiettivo di sicurezza informatica si definisce come “un desiderato realistico di una condizione futura, per il cui raggiungimento si pianificano azioni, cronoprogrammi e budget economici”. Il budget economico sta a valle della definizione dei propri obiettivi di cybersecurity, a seguito dei quali, verranno adottate una serie di azioni definite che miglioreranno la postura di sicurezza dell’organizzazione tutta e le offriranno significativi vantaggi, anche commerciali e di posizionamento sul mercato. Il vantaggio economico è infatti il primo degli obiettivi di sicurezza informatica declinati.
Qualsiasi organizzazione oggi dipende in una qualche misura da strumenti digitali. La digitalizzazione non è stata pensata e creata sicura by default e purtroppo non tutti gli applicativi sono automaticamente o originariamente sicuri. Questa condizione di partenza ha fatto si che clienti, fornitori, concorrenza ed enti regolatori abbiano messo la cybersecurity, propria e dei propri partner, al centro delle loro attenzioni.
La digitalizzazione è in definitiva un’impresa intrinsecamente rischiosa e questa consapevolezza dovrebbe indurci ad adottare un approccio intenzionale e consapevole alla protezione dei nostri asset, pena la fuoriuscita dal mercato, significativi danni economici e/o reputazionali.
A causa di vincoli finanziari oppure per una non piena consapevolezza del proprio rischio digitale, oppure perché altre funzioni interne sono più abili ad accaparrarsi risorse scarse, la sicurezza informatica non tiene il passo né degli investimenti garantiti ad altre progettualità aziendali né alle minacce, che si aggirano al di fuori del proprio perimetro organizzativo.
Comunicazione, una soft skill chiave anche per l’IT
Che la comunicazione sia fondamentale in ogni attività umana è un assioma che non necessita di ulteriori evidenze. Che le organizzazioni, quali strutture funzionali e coordinate, debbano eccellere nell’arte di comunicare, non solo esternamente ma anche internamente, dovrebbe essere un auspicio.
Purtroppo, molte organizzazioni sono campionesse di pessima comunicazione interna, torri di Babele, funzioni aziendali come tribù non comunicanti con linguaggi e obiettivi così differenti da rendersi vicendevolmente sorde alle richieste e opportunità di collaborazione.
L’incapacità di comunicazione impedisce l’adozione di strategie collaborative e innesca comportamenti confliggenti per accaparrarsi risorse finanziare solitamente scarse. Sul tavolo del management, vi saranno proposte di finanziamento provenienti dagli altri settori dell’organizzazione, ognuna con una sua logica, validi obiettivi e motivazioni che ne corroborino l’utilità. In uno scenario di scarsità di risorse, il lavoro del management sarà sforbiciare, bocciare, ridimensionare. Quale portatore d’interesse la spunterà? Quale funzione aziendale, quale tribù?
Nel tentativo di ottenere risorse finanziare per le proprie progettualità, l’IT fatica a farsi approvare il budget. Portatori d’interessi interni, quali Marketing e Vendite, da possibili concorrenti nell’allocazione di risorse economiche scarse, possono diventare alleati di progettualità condivise.
Spesso le promesse allettanti di “più contatti” o “più vendite” perorate da Marketing e Vendite, o la velata minaccia di “meno sanzioni” sventolata dalla Compliance, hanno un peso specifico d’interesse maggiore, per il management, rispetto al buon proposito del “più sicuri” auspicato dall’IT.
Purtroppo, il primo grande problema che frena la realizzazione della tanto chiacchierata postura di sicurezza informatica e che impedisce all’organizzazione di diventare matura non è una questione tecnologica o di risorse economiche, è di comunicazione e incomprensione tra le diverse funzioni silos dell’organizzazione.
Nello specifico del settore IT, la comunicazione è importante per poter colmare la mancanza di comprensione del management in tema di sicurezza informatica, le cui informazioni sono talvolta filtrate da canali non appropriati quali i mass media, che se da un lato hanno avuto il merito di rendere il problema della cybersecurity d’attualità, dall’altro lo hanno fatto talvolta con toni sensazionalistici più che realmente divulgativi.
Un IT più comunicativo e collaborativo potrà aiutare le funzioni marketing, vendite e compliance a risolvere problemi bloccanti per un non tecnico e ottenere a sua volta benefici significativi in termini di centralità e allocazione di risorse scarse. Sintonizzarsi sul canale del ricevente può fare la differenza, soprattutto se fatto al momento giusto, il quale solitamente coincide con l’esigenza altrui, con l’insorgere di un qualsiasi problema tecnico.
L’IT può e deve divenire fattore abilitante del marketing, delle vendite e della compliance, attivando sinergie collaborative, che lo pongano al centro di progettualità attive allo sviluppo del business.
