La gestione del rischio è una componente primaria dell’attività imprenditoriale e in alcuni settori, come il Finance oppure per le aziende quotate in Borsa, essa è normata da precise disposizioni legislative al fine di proteggere clienti e azionisti da comportamenti avventati che possono mettere a rischio i loro investimenti. Ma oggi, un’efficace gestione del rischio di mercato non è più sufficiente e a questa si è andata affiancando la gestione dei rischi specificatamente legati all’utilizzo delle tecnologie Ict. Anche in questo caso, i primi a interessarsi alla questione e ad adottare le necessarie misure sono stati gli operatori del Finance nonché le aziende quotate in Borsa, ma la problematica si va ormai estendendo ad aziende di qualsiasi comparto che sono spinte a ricercare nuovi modelli di business che trovano nell’innovazione It un driver fondamentale.
Nasce da queste considerazioni la scelta di ZeroUno di svolgere, in collaborazione con NetConsulting e Symantec, un’indagine online tra i propri lettori nei mesi di aprile e maggio 2008.
Il campione
Seppur non significativo dal punto di vista statistico trattandosi di un’indagine online aperta, l’ampia adesione, con 110 questionari compilati, e la tipologia delle aziende rispondenti ci fa considerare il campione sicuramente utile per comprendere l’approccio alla tematica. Le figure 1 e 2 illustrano i dati anagrafici del campione, mentre per quanto riguarda l’organizzazione dei sistemi informativi si è rilevato che circa i due terzi del campione dispongono di un’infrastruttura It centralizzata, più elevata nelle medie aziende e in quelle appartenenti al settore servizi e consulenza.
Figura 1
Settore di attività e classe dimensionale delle aziende di campione
Figura 2
Ruolo del rispondente e numerosità delle risorse IT
Clicca sull’immagine per visualizzarla correttamente
Fonte: Indagine Risk Management, ZeroUno-NetConsulting, aprile-maggio 2008
L’accesso continuativo da remoto al sistema informativo aziendale, diffuso in più della metà del campione, ed essenziale per il business nel 30% di esso, sembra non essere correlato alla dimensione dell’azienda quanto al settore in cui essa opera (predominanza di utenti mobili nei Servizi e nelle aziende Ict).
Sicurezza: evitare interruzioni e accessi indesiderati
Entrando nel vivo dell’inchiesta, analizziamo il ruolo della sicurezza informatica all’interno del campione, quali le soluzioni adottate, i problemi riscontrati, i fattori di spinta e di freno agli investimenti. In primo luogo sottolineiamo che la quasi totalità delle aziende di maggiori dimensioni ha una figura dedicata agli ambiti della sicurezza informatica, mentre nelle piccole aziende questa figura non svolge il ruolo in modo esclusivo.
Per quanto riguarda gli strumenti, quelli considerati come fondamentali sono rappresentati dalle soluzioni basilari: Firewall (in grado di garantire la sicurezza perimetrale), soluzioni di content security (Antivirus, Antispam, Antispyware), ma anche soluzioni più evolute e strutturate come business continuity e disaster recovery; meno considerati, perché concentrati nei settori più pressati dal punto di vista della compliance, strumenti finalizzati a garantire l’aderenza alle normative; poco considerate, in generale, la crittografia e soluzioni di misurazione dei processi di sicurezza. Le risposte riguardanti le soluzioni effettivamente implementate coincidono, in linea di massima, con le indicazioni relative all’importanza.
Si è indagato anche su quali siano gli “incidenti” in ambito aziendale che spingono le aziende a dotarsi delle soluzioni di sicurezza informatica: la primaria necessità indicata dalle aziende, in modo indipendente dalle dimensioni, è quella di evitare interruzioni prolungate dei sistemi It che, all’interno di realtà sempre più complesse, abbiano conseguenze immediate sul business; molto sentiti anche problemi legati all’accesso non autorizzato ai dati aziendali e possibili disservizi generalizzati.
Le risposte relative ai principali driver agli investimenti evidenziano che il primo fattore di spinta è la necessità di garantire la continuità del business aziendale. Nelle aziende di maggiore dimensione (figura 3) forti driver sono anche le normative e la necessità di preservare l’immagine aziendale che danni informatici di dimensioni rilevanti possono compromettere.
Figura 3
Driver agli investimenti in area Security (per classe dimensionale)
Clicca sull’immagine per visualizzarla correttamente
Fonte: Indagine Risk Management, ZeroUno-NetConsulting, aprile-maggio 2008
Meno rilevanti risultano essere l’esposizione all’esterno (come visto in precedenza solo la metà del campione ha scambi frequenti con soggetti che si collegano da remoto ai sistemi informativi), l’aderenza a best practice e il fatto di avere subìto in passato attacchi o incidenti informatici.
Speculare ai driver è l’analisi dei fattori di freno che limitano o spostano nel tempo la decisione di adottare determinate soluzioni in ambito sicurezza. I principali vincoli a investire in sicurezza sono rappresentati dalla tendenza, in ambito It, a privilegiare altre aree di investimento, dalla mancanza di budget da dedicare alla sicurezza, specialmente nelle aziende di piccole dimensioni. Nelle piccole e medie realtà, spesso non viene data la giusta rilevanza a investimenti in security per il solo fatto di avere subito pochi incidenti in passato. Nelle grandi aziende invece si rileva anche una difficoltà a mappare, all’interno di sistemi informativi complessi e distribuiti, rischi e criticità che possano giustificare investimenti, spesso di elevata portata.
Se la mancanza di budget adeguato è spesso un fattore di freno agli investimenti in sicurezza qual è il livello di investimenti per la sicurezza ritenuto adeguato dai nostri rispondenti? A livello complessivo, oltre il 42% delle aziende reputa adeguato un investimento in sicurezza compreso tra il 6% ed il 10% degli investimenti It complessivi; una percentuale simile di rispondenti reputa altresì necessari investimenti in sicurezza che raggiungano una quota superiore al 10% del totale budget It.
Il rischio informatico: quale percezione e quali soluzioni
Andando ancor più in profondità nella nostra indagine, analizziamo le risposte relative ai comportamenti delle aziende sul tema del rischio informatico. La prima annotazione è che la presenza di una figura dedicata alla gestione del rischio informatico, che si occupi quindi dell’analisi dei pericoli, della predisposizione di procedure, di strategie e dispositivi di sicurezza aziendali è limitata alla metà delle aziende del campione analizzato, con le grandi aziende che più delle altre ne stanno valutando l’introduzione in questa fase.
Per quanto riguarda il grado di consapevolezza del rischio informatico all’interno delle differenti funzioni aziendali, l’It si conferma, indistintamente per la dimensione dell’azienda in esame (figura 4), la funzione che più di altre percepisce il rischio informatico, poiché influisce in modo diretto sulla propria attività. Nelle grandi aziende tale percezione è presente anche nella funzione di audit e compliance normativa, cui compete l’analisi e la valutazione del rischio aziendale e anche di quello informatico.
Figura 4
Livello di percezione del rischio informatico da parte delle funzioni aziendali (per classe dimensionale)
Clicca sull’immagine per visualizzarla correttamente
Fonte: Indagine Risk Management, ZeroUno-NetConsulting, aprile-maggio 2008
A livello settoriale, il grado di consapevolezza del rischio informatico si conferma esclusiva priorità dell’It nelle aziende appartenenti dell’Industria e Distribuzione, mentre una consapevolezza più diffusa si ha nelle aziende dell’Ict. In queste ultime, una buona percezione si rileva anche a livello di Top Management e nell’area Ricerca e Sviluppo. Lontane dalla problematica sono state indicate invece aree quali vendite e marketing, acquisti e servizi post vendita.
Per quanto riguarda il Finance, l’ufficio che ha una percezione della problematica superiore rispetto agli altri è Audit e Compliance; nel Finance il punteggio assegnato a questa funzione aziendale è decisamente superiore alla media (38 contro 1,9%).
I principali rischi che portano le aziende ad adottare soluzioni di risk management riguardano la necessità, da un lato, di garantire l’integrità dei dati, e dall’altro di permettere l’accesso al sistema informativo in modo continuativo. Minore è il grado di rischio associato alla gestione dei dati per finalità legate alla compliance, di autorizzazioni al loro utilizzo. Infine, è stato indicato un basso livello di rischio relativamente alla gestione delle soluzioni per il monitoraggio dei sistemi e dei processi It.
La maggior parte delle aziende si è poi dimostrata soddisfatta delle applicazioni di risk management già in produzione; le principali problematiche sono state indicate nella mancanza di documentazione adeguata sulle soluzioni stesse (un leit motiv che contraddistingue l’implementazione di qualsiasi tipo di soluzione Ict), che a sua volta comporta problematiche in termini di integrazione con altri applicativi. Le aziende hanno poi indicato, in misura inferiore, disfunzioni dovute al funzionamento dell’applicativo in termini di performance e disfunzioni legate alle caratteristiche dello stesso applicativo, come scalabilità, affidabilità e sicurezza.
Figura 5
Presenza di processo di Risk Management (per classe dimensionale)
Clicca sull’immagine per visualizzarla correttamente
Fonte: Indagine Risk Management, ZeroUno-NetConsulting, aprile-maggio 2008
Nonostante la metà delle aziende abbia indicato la presenza di un responsabile della gestione del rischio informatico, i processi di risk management sono stati implementati da una quota pari al 33% delle aziende del campione (figura 5), con una quota significativa di grandi aziende che lo stanno implementando in questa fase (40%). Interessante notare come le piccole siano coinvolte nell’attività di studio, ovvero sono interessate a capire la reale necessità e la fattibilità di implementazione di processi di risk management. Andando poi a indagare la presenza di una politica di sicurezza che richiede l’esecuzione di un’analisi dei rischi IT, i dati evidenziano che ancora in molti casi (37,3%) manca un mandato esplicito (mediante una politica di sicurezza appunto) per realizzare l’analisi dei rischi IT all’interno dell’organizzazione.
Una politica della gestione del rischio
Proseguendo nell’analisi dei comportamenti delle aziende relativamente alla gestione dei rischi It, risulta che quasi i due terzi del campione intervistato adotta politiche di sicurezza evolute, ovvero politiche che comportano anche un’analisi dei rischi It. Come prevedibile l’adozione di politiche di tal tipo cresce al crescere delle dimensioni aziendali; spesso, infatti, le piccole aziende tendono a utilizzare politiche di sicurezza non formalizzate e poco strutturate, che non derivano cioè da una complessa analisi dei rischi aziendali.
In ogni caso, anche tra coloro che adottano politiche di gestione dei rischi It, l’analisi può essere effettuata in differenti modi e tempi: oltre il 62% di chi dichiara di effettuare l’analisi dei rischi It utilizza metodologie definite, applicate sistematicamente, mentre quasi il 40% si affida a strumenti e processi meno evoluti e codificati. A livello di tempistica, l’analisi dei rischi It viene effettuata prevalentemente meno di 6 volte all’anno; tra le grandi aziende è più elevata la percentuale che effettua tale analisi più volte al mese (18,2%).
Riguardo alla presenza e al tipo di metodologia per l’analisi e la gestione dei rischi It, oltre l’80% delle aziende che effettuano l’analisi dei rischi It utilizza metodologie definite (qualitative, quantitative o ibiride). Tra coloro che hanno metodi definiti, la maggior parte (47%) si affida a soluzioni “ibride” composte da componenti sia qualitative che quantitative, mentre un 41% utilizza metodi solo qualitativi; un restante 3% sceglie strumenti basati esclusivamente su analisi quantitative e, infine, l’8% degli intervistati dichiara di non conoscere esattamente quale metodologia definita sia utilizzata dalla sua azienda (figura 6).
Figura 6
Presenza di una politica di sicurezza che richiede l’esecuzione di un’analisi dei rischi IT (per classe dimensionale)
Clicca sull’immagine per visualizzarla correttamente
Fonte: Indagine Risk Management, ZeroUno-NetConsulting, aprile-maggio 2008
Tra coloro che hanno definito una metodologia per l’analisi del rischio, oltre il 60% degli intervistati utilizza un metodo di valutazione del rischio basato sull’individuazione delle minacce (by Threats), in alternativa ad un più immediato ed efficace metodo basato sulla valutazione dei controlli in essere (by Controls). Tra gli strumenti utilizzati per la gestione del rischio It i più presenti sono le soluzioni di mercato (48%), seguite da toolkit di base (come ad esempio applicazioni di office), preferite dalle piccole aziende; nelle aziende di grandi dimensioni è invece superiore il ricorso a soluzioni proprietarie customizzate secondo le esigenze puntuali delle differenti realtà in cui vengono applicate.
Il principale utilizzo dei risultati ottenuti dalle attività di analisi del rischio è la creazione di reportistiche da illustrare al Top Management (che, spesso, svolge il ruolo di promotore di queste soluzioni). Importante risulta essere anche l’utilizzo dei dati risultanti dalle attività quantitative per ripianificare le strategie in ambito security, intervenendo in quelle aree che risultano meno coperte o in cui le attuali soluzioni si dimostrano poco adatte alla finalità per cui sono state implementate.
Relativamente ai fattori di freno agli investimenti in queste soluzioni, contrariamente a quanto evidenziato in quelle di sicurezza, emerge l’assenza di una reale consapevolezza sulla tematica, soprattutto da parte delle piccole aziende (figura 7): il fatto che i maggiori fattori di freno si riscontrino nelle aziende medie e grandi è da attribuire a una reale conoscenza e consapevolezza da parte di queste ultime rispetto alle piccole.
Figura 7
Fattori di freno agli investimenti in analisi e gestione dei rischi IT (per classe dimensionale)
Clicca sull’immagine per visualizzarla correttamente
Fonte: Indagine Risk Management, ZeroUno-NetConsulting, aprile-maggio 2008
Nelle grandi e medie aziende risulta particolarmente sentito il problema della complessità nella definizione dei processi.
Identificati i fattori che più di altri portano alla mancata piena adozione di metodologie per l’analisi e la valutazione dei rischi It, si è cercato successivamente di comprendere quali siano i criteri che le aziende seguono nella scelta e nell’implementazione di strategie per mitigare il rischio informatico. I principali fattori indicati consistono nei risultati che questi strumenti/strategie devono portare, ovvero un corretto rapporto costi/benefici e l’efficacia stessa dello strumento; per oltre la metà delle aziende, inoltre, le strategie devono essere di facile implementazione (in particolare per le piccole e medie aziende) e devono allinearsi a best practice consolidate, elemento segnalato soprattutto nelle grandi realtà, in cui anche le tempistiche di implementazione sono importanti.
Figura 8
Caratteristiche ricercate nel fornitore di soluzioni di risk management
Clicca sull’immagine per visualizzarla correttamente
Fonte: Indagine Risk Management, ZeroUno-NetConsulting, aprile-maggio 2008
Concludiamo questa parte con l’analisi delle caratteristiche ricercate nel fornitore di soluzioni di risk management (figura 8): il principale fattore indicato dal campione è rappresentato dalle competenze specialistiche (consulenza), ovvero la capacità del fornitore di saper supportare il cliente a partire da un’analisi dei processi funzionale alla gestione del rischio; importanti sono altresì l’affidabilità e la capacità di condurre il progetto nelle tempistiche e modalità previste, includendo anche il supporto successivo alla messa in funzione delle soluzioni; inoltre, più che la tecnologia innovativa, al fornitore è richiesta un’elevata competenza tecnologia specifica sulle attività di gestione e riduzione del rischio.
Per una governance della sicurezza it
L’ultima parte dell’indagine si è focalizzata sugli strumenti utilizzati dalle aziende per una più globale Governance della sicurezza It. Il principale intervento adottato consiste nell’utilizzo di un sistema di gestione della sicurezza delle informazioni, presente nel 79% del campione soprattutto di medie e grandi dimensioni (figura 9); trend proporzionale alle dimensioni aziendali registra altresì la presenza di un piano integrato di Business Continuity e Disaster Recovery (58% ), mentre meno della metà delle aziende ha sviluppato processi di analisi e gestione del rischio IT, processi di internal audit; poche aziende (in maggioranza di grande dimensione) hanno creato comitati direzionali dedicati alla gestione della sicurezza informatica.
Infine, quali iniziative possono essere quindi promosse (e verso chi) per creare un ambiente ottimale per l’evoluzione delle soluzioni in ambito sicurezza, nei sistemi di gestione del rischio e di governance, per la riduzione di comportamenti e attività che possano generare pericoli e problemi per l’operatività aziendale?
Figura 9
Grado di adozione di strumenti e processi per la Governance della sicurezza IT (per classe dimensionale)
Clicca sull’immagine per visualizzarla correttamente
Fonte: Indagine Risk Management, ZeroUno-NetConsulting, aprile-maggio 2008
Alla richiesta di indicare le principali attività per creare una maggiore consapevolezza circa i rischi derivanti da comportamenti informatici non corretti non si rilevano, a livello generale, grandi preferenze: una maggiore informazione agli utenti per il 69% del campione; attività di formazione, da effettuare sia verso il personale It per il 62%; attività di formazione verso i dipendenti più in generale per il 57%. L’analisi dimensionale rivela invece che nelle medie aziende sembra essere attribuita una minore importanza alla formazione ai dipendenti non It, questo è probabilmente indice del fatto che la sicurezza informatica venga considerata ancora solo prerogativa dell’It e non estesa al personale complessivamente considerato.
Le attività di formazione e informazione sono importanti ma non rappresentano l’unico metodo da implementare per la riduzione del rischio informatico. Secondo le aziende, infatti, queste attività devono essere inserite all’interno di una strategia più ampia che porta a definire e adottare politiche e procedure di sicurezza, strategia che veda il coinvolgimento anche del Top management perché ne garantisca l’implementazione. Queste attività devono essere accompagnate dall’introduzione di contromisure tecnologiche che, per essere implementate in modo adeguato, necessitano, inevitabilmente, di un budget dedicato.
Per approfondimenti e aggiornamenti sui temi della sicurezza vai al Security WebJournal
