Security Officer: budget in aumento ma tanti problemi aperti

Una ricerca Ibm su 138 Chief Information Security Officer a livello mondiale approfondisce le differenze tra le organizzazioni che reagiscono a rischi e violazioni solo quando si presentano e quelle con una strategia sistemica di gestione dei rischi.

Pubblicato il 13 Dic 2012

Abbiamo parlato spesso ultimamente delle tendenze che rendono l’information security un problema che va ormai ben oltre l’ambito tecnologico. I sistemi e le reti It aziendali contengono asset strategici sottoforma di informazioni digitali (dati di clienti e prodotti, brevetti e proprietà intellettuale, ecc.) a cui accede un numero sempre più alto di dispositivi, fissi e soprattutto mobili; questo comporta rischi di violazioni e perdite di dati sempre più alti, che possono impattare direttamente sui risultati di bilancio. In questo scenario, molte organizzazioni mantengono un atteggiamento di sola reazione al singolo problema quando si manifesta. Ma alcune vanno oltre, con un approccio proattivo di gestione globale dei rischi a livello enterprise. Cosa hanno queste realtà di diverso dalle altre? Come si può prendere esempio da loro e migliorare la propria strategia di sicurezza? Per rispondere, l’Ibm Center for Applied Insights ha effettuato un’indagine su 138 Ciso (Chief Information Security Officer) o Security Leader (manager It e di business responsabili dell’information security delle loro aziende) in tutto il mondo, chiamata ‘2012 Ibm Ciso Assessment’ e sintetizzata nel report ‘Finding a Strategic Voice’.

Sempre più sotto pressione

Un primo concetto che emerge dall’indagine, non certo sorprendente, è che i Ciso si sentono sempre più sotto pressione, in quanto ‘custodi’ di dati sempre più strategici, e quindi della stessa immagine aziendale. Circa due terzi degli intervistati dice che rispetto a due anni fa il top management oggi è più attento a tutto ciò che riguarda l’information security. La buona notizia è che in due casi su tre il budget per l’It security è in aumento, incremento che più della metà degli intervistati definisce in doppia cifra. Inoltre il parere più diffuso è che nei prossimi due anni il focus in quest’area passerà dalla gestione delle minacce immediate e delle compliance al monitoraggio e controllo dei potenziali rischi. Infine la prima priorità tecnologica è trovare le giuste soluzioni di mobile security.

In generale nel report si rileva un aumento dell’attenzione rispetto al passato per l’information security, con diversi casi di creazione di una funzione centrale dedicata. Ma quando si tratta di concretizzare questa ‘centralizzazione’ con strategie e azioni, la varietà di atteggiamenti è davvero molto ampia.

I ricercatori di Ibm hanno chiesto ai Ciso come valutano le loro organizzazioni su due variabili: la maturità nell’approccio all’information security e la capacità di evitare o contenere gli effetti di un attacco ai sistemi It. Sulla base delle risposte hanno definito tre ‘cluster’ di aziende: Influencer, Protector e Responder (figura 1). Le prime (25% del totale), sono posizionate bene su entrambi i parametri secondo i loro Ciso, che vedono il proprio ruolo come autorevole a livello strategico. Le seconde – circa la metà del totale – riconoscono l’information security come priorità strategica, ma i loro Ciso ritengono di non avere informazioni sufficienti sul reale stato della sicurezza in azienda, né l’autonomia di budget per ottimizzare la strategia di sicurezza. Infine le Responder lavorano per lo più in modo reattivo, affrontando i problemi quando si verificano e lavorando per mantenere la conformità a norme e regolamenti, ma senza riuscire a definire un approccio strategico.

Figura 1 – Valutazione fatta dai Ciso sulla loro azienda in tema di information security

Otto variabili chiave

I tre cluster sono trasversali sia per dimensione d’azienda che per settore, per cui i ricercatori hanno approfondito l’analisi per capire cosa distingua le influencer dalle altre. Il responso è che le differenze riguardano l’approccio alla sicurezza su otto variabili, raccolte in tre gruppi: struttura e management, livello di attenzione, e sistemi di misura (figura 2).

Figura 2 – Approcci aziendali rispetto al problema security

Nel primo gruppo due variabili critiche sono la presenza di un Ciso dedicato, rilevata in una azienda responder su quattro ma in oltre la metà delle influencer, e quella di un comitato per la sicurezza o i rischi (26% delle responder, 68% delle influencer) che, presieduto da un senior executive, definisce la strategia di security e gestisce i relativi cambiamenti in processi e funzioni. Nelle influencer è inoltre molto più probabile (71%, contro il 27% delle responder e il 45% delle protector) che esista un budget dedicato alla sicurezza, anche se la sua gestione è più affidata al Ceo (26%) o al Cio (26%), che al Ciso (13%).

“La mancanza di un Ciso o di un security committee – si legge nel report – si traduce spesso in un approccio alla sicurezza più tattico e frammentato, mentre la mancanza di un budget dedicato costringe i responsabili della sicurezza a dover sempre negoziare le risorse, scendendo a compromessi e limitando le iniziative rispetto all’obiettivo ottimale”.

Passando al secondo gruppo di variabili, nel 77% delle aziende influencer (ma solo nel 50% delle responder) l’attenzione del top management verso la sicurezza It è più alta rispetto a due anni fa, e soprattutto è continuativa, perché si parla di questo tema in tutte le riunioni del board (60%, contro il 22% delle responder). “In queste realtà la formazione, la comunicazione e la collaborazione tra le funzioni di business creano una cultura pervasiva di consapevolezza dei rischi e di protezione proattiva dei dati, che arriva a influenzare il disegno dei nuovi prodotti e servizi, incorporando in essi fin dalle prime fasi le opportune azioni di sicurezza”.

I responder invece sono più concentrati sugli aspetti tattici, come integrare nuove tecnologie o ridisegnare processi per rimediare a singole falle nella sicurezza di reti e sistemi. Anche su quella che tutti riconoscono come la principale priorità tecnologica – la sicurezza mobile – l’atteggiamento degli influencer si distingue per completezza, coprendo non solo la sicurezza degli accessi, ma anche la protezione delle soluzioni in cloud e quella di database e storage.

Un ruolo ben oltre la tecnologia

Quanto infine alle misure (figura 3), la probabilità che in un’organizzazione influencer ci sia un sistema di misurazione dei principali indici di sicurezza (livelli di compliance, velocità di recupero dopo un attacco, livelli di consapevolezza dei rischi, ecc.) è più che doppia rispetto a una responder: 59% contro 26%. I Ciso delle aziende influencer non solo si sono guadagnati l’attenzione continuativa dei loro capi e collaborano con le funzioni di business, ma rispondono di ciò che fanno per proteggere i dati aziendali giorno per giorno, a fronte di misure puntuali.
Nonostante uno scenario sempre più complesso, quindi, alcune organizzazioni stanno vincendo la sfida centralizzando la responsabilità dell’It security in una figura (il Ciso) con sufficiente autonomia di risorse, e un ruolo strategico che va ben oltre la tecnologia e copre aspetti come la formazione e la definizione dei processi aziendali. In queste realtà il focus si sposta dalla risposta agli attacchi alla gestione proattiva dei rischi, e dalle iniziative frammentate all’approccio integrato e sistemico: l’ambito d’azione della strategia di information security è davvero l’intera azienda.

Figura 3 – Importanza dei sistemi di misurazione dei principali indici di sicurezza

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati

Articolo 1 di 5