L'articolo in calce che segnalo in questo post non ha la pretesa di fornire una risposta alla domanda espressa nel titolo. Infatti, la domanda in questione è tutt'altro che banale per essere affrontata in modo esaustivo in un breve articolo, e rappresenta il quesito più rilevante per ciascun imprenditore o top manager che decide di impostare una strategia di governo della cybersecurity per la propria azienda. 

L'articolo ha comunque il pregio di sottolineare in modo efficace un concetto che io stesso ripropongo spesso nelle occasioni in cui mi trovo a parlare con manager che occupano posizioni esecutive in azienda, e cioè che la valutazione sull'adeguatezza di un modello di governo della cybersecurity è una decisione strategica e non può essere delegata ai tecnici. 

I tecnici (e tra di essi comprendo figure manageriali come i CISO / CSO / CIO) hanno la chiara responsabilità di mettere a disposizione dei vertici aziendali tutte le informazioni necessarie a prendere una decisione consapevole sulla postura di sicurezza da adottare. Sotto questo punto di vista sono assai rilevanti la valutazione del rischio effettivo, e del potenziale impatto di business, rispetto alle minacce significative per l'ambito di interesse, nonché la valutazione della mitigazione introdotta dalle misure di protezione identificate per superare i gap esistenti.

Ma c'è anche altro secondo me... 

La stessa scelta se intraprendere una strada o un'altra nell'implementazione di adeguate misure di protezione richiederebbe un'overview ad un adeguato livello manageriale. Attenzione, infatti, che non ci sono solo tecnologie alternative tramite cui implementare un determinato requisito, ma esistono pure approcci alternativi che possono essere caratterizzati da un Total Cost of Ownership molto diverso l'uno dall'altro. 

Questo è uno dei motivi, ma neppure l'unico a dire il vero, per cui non è affatto possibile affermare: "ditemi quanto spendete e vi dirò quanto siete sicuri!"