Risk management: quattro errori da evitare secondo Gartner

Secondo Gartner la definizione dei budget relativi alla sicurezza è sempre stata un processo critico. La crisi economica globale, oggi, sta rendendolo ancora più complicato. Per fortuna, gli investimenti in sicurezza subiscono ridimensionamenti minori di quelli legati ad altre tematiche. Ciononostante, i responsabili della security si trovano ad affrontare contesti di rischio che mutano rapidamente con budget e staff spesso inadeguati. Diventa così prioritario cercare di ottimizzare l’impiego di queste risorse in modo che le procedure di controllo dei rischi e della sicurezza soddisfino a espliciti obiettivi di business.
Al Gartner Information Security Summit, tenutosi i giorni 21 e 22 settembre a Londra, Jay Heiser, research vice president della società di analisi, ha elencato quattro “Risk Management Mistakes” che, se commessi, possono impedire ai responsabili della sicurezza di realizzare i loro obiettivi.
Il primo errore è quello di adottare un approccio alla sicurezza e al risk management del tipo “One Size Fits All”. Secondo l’analista di Gartner, non esiste un investimento che sia contemporaneamente efficace e sostenibile in ogni situazione. Ogni budget deve essere definito in funzione dello specifico livello di rischio se si vuole evitare che si dimostri sotto o sopradimensionato.
Il secondo errore da evitare è quello di elaborare piani sulla base di quello che vogliono i professionisti It e non il business. Storicamente, fa notare Gartner, gli uomini It tendono a investire più in un’ottica “technology-centric” che in funzione delle esigenze del business.
In terzo luogo, Gartner raccomanda ai responsabili della sicurezza di non comunicare agli utenti business in modo troppo complicato. Qualora si debba comunicare quanto un sistema It può essere critico per il business (e quindi la sua messa in sicurezza sia fondamentale) i responsabili della sicurezza dovrebbero utilizzare una scala di valore semplificata con l’indicazione di soli tre livelli: alto, basso e medio.
Il quarto e ultimo errore che i professionisti della sicurezza possono compiere è quello di consentire agli utenti di scaricare su di loro tutta la responsabilità della security. Molti utenti sono convinti che lo “standard” di sicurezza offerto dall’organizzazione It sia sufficiente a prevenire tutti i rischi connessi alle tecnologie e tendono ad adagiarsi su questa convinzione. Questa situazione fa sì che chi si occupa di It security diventi il parafulmine per tutti i problemi che si possono verificare. Se si diffonde la cultura secondo la quale sicurezza equivale anche a ottenimento di determinati obiettivi di business, diventa più facile sensibilizzare i responsabili dei diversi processi di business sull’importanza di preoccuparsi in prima persona della security dei sistemi che li supportano.
Il report intitolato “Four Risk Management Mistakes That Threaten Your Security Budget” può essere reperito all’indirizzo www.gartner.com/DisplayDocument?ref=g_search&id=994712&subref=simplesearch .