Nonostante la crisi, i budget allocati crescono nel 48% dei casi. E ben il 14% delle imprese ha una struttura dedicata con oltre 10 persone. Uno scenario in continua evoluzione, come risulta dall’Osservatorio Information Security Management.
La maggioranza delle aziende è consapevole dell’importanza della sicurezza informatica, ma il livello di "maturità" delle soluzioni adottate è ancora molto eterogeneo.
Nel suo secondo anno di ricerca, l’Osservatorio Information Security Management della School of Management del Politecnico di Milano traccia uno scenario in continua evoluzione.
“Da un lato – spiega il responsabile scientifico dell’Osservatorio Paolo Maccarone – solo il 19% delle imprese del nostro campione non ha ancora introdotto un’unità di sicurezza Ict nell’organizzazione aziendale. Dall’altro, le soluzioni adottate, soprattutto in ambito Risk Management, sono artigianali e sviluppate in casa, segno che mancano degli standard di riferimento con cui confrontarsi”.
L’Osservatorio si è focalizzato nella sua seconda edizione su tre temi: i trend emergenti di sicurezza ICT in termini di organizzazione e budget dedicato; gli approcci alla Risk Analysys; la relazione fra sicurezza informatica ed Erm (Enterprise Risk Management). In totale sono stati quasi 500 i manager contattati, fra Cio e Ciso (Chief Information Security Officer)
Budget e trend emergenti
Per quanto riguarda il budget allocato alla sicurezza Ict, la buona notizia è che il 48% del campione prevede un investimento in crescita e il 46% un’invarianza. Un segnale quindi che l’Ict security cresce di importanza all’interno dei sistemi informativi. “Anche se va detto – commenta Luca Marzegalli, responsabile scientifico dell’Osservatorio Information Security Management – in diversi casi buona parte del budget è legato a iniziative di compliance a nuove normative e quindi non discrezionale”.
Il ruolo stesso del Ciso è in forte evoluzione: nel 19% dei casi non è prevista tale figura nell’organigramma aziendale, ma c’è un 14% di imprese virtuose dove l’area ICT security ha al suo interno oltre 10 unità. Quando presente, il Ciso è in genere un primo riporto del Cio.
Va anche sottolineato che il 53% ha modificato nell’ultimo anno l’assetto organizzativo della divisione sicurezza Ict o ritiene di farlo nel prossimo futuro, segno che si è ben lontani dall’aver raggiunto un equilibrio.
Del resto, come ha sottolineato Gianluca Fusco, Cio di Edipower, la “sicurezza deve coinvolgere tutte le aree dell’azienda, non solo i sistemi informativi, per passare da un “progetto” a un “processo”.
Questa “trasversalità” ha aggiunto Claudio Frencia, Information Systems Security Officer di Fiat Group Automobiles è importante “perché la security viene spesso vista come un’incombenza, mentre in realtà è un modo per ottenere dei risparmi”.
Anche se la sicurezza Ict è sempre più pervasiva in azienda (tanto che gli input arrivano da numerose unità organizzative, come l’Ict, l’Internal Audit, la Corporate Security, le risorse umane, le varie business unti), questo non si traduce in processi sufficientemente strutturati: solo poco più di un terzo delle imprese redige sistematicamente un piano strategico completo che include tutte le attività riconducibili alla sicurezza Ict. Un altro terzo lo fa solo in occasione dei progetti più rilevanti e il restante 30% non elabora alcun documento di pianificazione.
Ma il problema non è solo organizzativo, come denuncia senza mezzi termini Renzo Passera, Account Executive di IT Zurich Insurance Company: “l’industria del software accetta come ineludibile la difettosità di programmi, tool e applicativi e questa è una cosa assolutamente inaccettabile. Nessun’altra industry ha un approccio simile nei confronti dei propri prodotti”.
Risk Analysys
Le metodologie di Risk Analysys sono molto diffuse fra i Cio (82%), ma solo il 16% le utilizza sistematicamente, mentre il resto (66%) solo in modo episodico. E in questi casi, si ricorre spesso a strumenti ad hoc o di tipo Office (il classico foglio Excel o Access, per intenderci), il che conferma il carattere un po’ artigianale dell’approccio.
Il limitato uso di strumenti commerciali è stato motivato dalla complessità riscontrata nel loro utilizzo. Dai risultati emerge, comunque, come le tre macro aree della Risk Analys (Progettazione nuove iniziative, Disaster recovery, Adempimenti normativi) siano state tutte oggetto di analisi da almeno il 71% delle banche, considerate come benchmark di riferimento dai responsabili dell’Osservatorio.
Enterprise Risk Management
La cosa che balza più all’occhio analizzando la ricerca è lo scollamento fra la divisione ERM e l’Ict security: oltre il 50% dei Ciso ha affermato che i momenti di dialogo e collaborazione sono di natura occasionale e non sistematici.
E la cosa è duplice: l’Erm non viene in genere coinvolta nelle scelta delle metodologie di sicurezza Ict (nella maggioranza dei casi ha un ruolo puramente consultivo). Quest’ultima, di converso, non ha un ruolo rilevante nel processo di valutazione di esposizione complessiva al rischio definito dall’Erm.
“In molti casi – spiegano i ricercatori – la divisione Ict security si limita a fornire alcuni dati “grezzi” che poi l’Erm elabora, ma non si ha visibilità né sui metodi usati, né sui risultati finali”.
“In ogni caso – conclude Maccarone – il Ciso deve evitare il rischio di isolamento e cercare il più possibile il dialogo con l’Erm, perché solo in questo modo si può valutare con metodologie appropriate il rischio Ict complessivo”.
