È strategico governare la sicurezza

Il contributo che presentiamo in questa pagina è frutto di una collaborazione tra Lineaedp e gli Osservatori Ict & Management della School of Management del Politecnico di Milano.

L'informazione rappresenta certamente una risorsa di fondamentale importanza per le imprese: basti pensare alle organizzazioni in cui i dati rappresentano il vero e proprio core business (è il caso del settore bancario, finanziario, assicurativo, oltre ovviamente alle telecom companies e alle aziende produttrici di software). Proprio per questo, la governance strategica dell'Ict Security, generalmente considerata come una parte dell'Information Security, ha costituito l'oggetto di ricerca dell'Osservatorio Information Security Management della School of Management e dell'Ict Institute del Politecnico di Milano, che nel secondo anno di attività ha coinvolto 105 professionisti tra Cio, Ciso e risk manager, tramite case study e survey estensiva. I risultati della ricerca sono contenuti all'interno del Report 2009, scaricabile dal sito www.osservatori.net.

La governance strategica dell'Ict Security è l'insieme di soluzioni organizzative e processi atti a garantire: una strategia di Ict Security ben definita e collegata agli obiettivi di business e a quelli dell'Ict; una struttura organizzativa congruente con gli obiettivi, la tipologia di attività e il carico di lavoro previsto; sistemi di pianificazione adeguati; metodologie di risk analysis/management appropriate; policy di alto livello ben strutturate, che comprendano tutti gli aspetti legati alla strategia, al controllo e alla regolamentazione inerente l'Ict security; processi di monitoraggio e controllo che assicurino feedback tempestivi sullo stato di implementazione dei programmi e sulla loro efficacia; sistemi di apprendimento che consentano un aggiornamento e un miglioramento continuo delle policy e delle procedure.

È possibile affermare che le variabili di progettazione della governance strategica siano riconducibili a tre famiglie fondamentali, concernenti rispettivamente: le scelte macro organizzative, la configurazione dei processi strategici e le risorse umane. La ricerca 2009 si è focalizzata sulle prime due dimensioni, con l'obiettivo di monitorare il grado di maturità dei sistemi di governance strategica nelle imprese italiane e le evoluzioni rispetto a quanto emerso dall'edizione dell'anno precedente.

I risultati dell'indagine mettono in luce una realtà caratterizzata da un certo livello di eterogeneità e in continua evoluzione. In particolare, analizzando il posizionamento dell'unità di Ict Security all'interno dell'organigramma aziendale, nella maggioranza delle imprese rispondenti il responsabile di tale unità è un primo riporto del Cio (una percentuale sicuramente importante, e in crescita rispetto al passato). Nel contempo, in ben il 19% dei casi tale figura non è nemmeno presente nell'organigramma (figura in alto).

Altrettanto variegata appare la situazione relativa alla dimensione dell'unità di Ict security all'interno della direzione Ict: se la maggioranza dei rispondenti dichiara che l'organico è composto da una persona, vi è anche un 14% di imprese in cui la dimensione supera le 10 unità. Va sottolineato altresì che la maggioranza delle imprese (precisamente il 53%) ha modificato nell'ultimo anno l'assetto organizzativo dell'Ict security o ritiene di farlo nel prossimo futuro, a riprova del fatto che si è ben lontani dall'aver raggiunto una situazione di equilibrio. Questo dato conferma i risultati emersi nel corso del primo anno di Ricerca sull'evoluzione dei modelli organizzativi dell'Ict security.

Per quanto concerne gli aspetti legati ai processi di pianificazione e controllo, si conferma la crescente pervasività dell'Ict security, tant'è che gli input per l'individuazione delle iniziative sono di natura molto diversa e provengono da numerose unità organizzative (Ict, corporate security, internal audit, organizzazione, risorse umane, business unit, e così via). A questa varietà di fonti non corrisponde sempre un processo di pianificazione sufficientemente strutturato: solo poco più di un terzo delle imprese redige sistematicamente un piano strategico completo, che include tutte le attività riconducibili alla sicurezza informatica. Un altro terzo delle imprese dichiara di farlo solamente per i progetti più rilevanti, mentre il 30% dei Cio non elabora alcun documento di pianificazione di questo tipo. Da questo punto di vista non sembra che le imprese abbiano fatto molti passi avanti rispetto al recente passato e questo rimane un elemento di criticità piuttosto rilevante.

Infine, i dati relativi al budget allocato all'Ict Security confermano che, nonostante il momento di crisi economica, nella maggioranza dei casi non è prevista una contrazione delle risorse (tra l'1 e il 5% del budget Ict) dedicate a quest'area.

CONDIVIDI

LASCIA UN COMMENTO

Please enter your comment!
Please enter your name here