La sicurezza va di moda in azienda

Da un’indagine di Nextvalue risulta che per due aziende su tre la security contribuisce alla buona riuscita del business. Budget medi al 5% del totale IT e con previsioni di crescita per il 2012.

Secondo Roberto Sortino, Director unified infrastructure group di Emc, per i responsabili It e della sicurezza l’ingresso di nuovi dispositivi in azienda è qualcosa «da cavalcare, non da subire».
La loro gestione deve essere fatta da un punto autorevole e responsabile, dettando linee guida all’utilizzo, da quelle, se vogliamo banali, di non craccare i dispositivi per quanto personali, a quelle più articolate, che impartiscono quali dati condividere in rete e quali no.

Parte dal pratico, dal quotidiano Sortino, per dirci che la sicurezza, insomma, non é data dalla ossessiva fortificazione, ma dalla governance e formazione continua. E dalla volontà di fare business continuity.
Parliamo di volontà perché l’esigenza esiste, indiscutibilmente. Sta a come la si interpreta, ossia a quanti gradi di libertà si intende rinunciare.

C’è chi non accetta compromessi e non vuole fermi strutturali e se accadono esige che l’allineamento dati sia in tempo reale, e chi è disposto a un salto temporale di qualche ora.
Una scelta che si paga con un paio di zeri sul conto finale, ma lo si fa consapevolmente.  Non a caso i determinanti di questo doppio binario sono, per Sortino, il costo innanzi tutto, ma anche la connessione e la situazione infrastrutturale presente in azienda.

A che punto è la disciplina
Sortino ha fatto queste osservazioni nel contesto della presentazione di una ricerca effettuata da NextValue sull’evoluzione della gestione della sicurezza in Italia, l’Information Security Management Report 2012.

Nextvalue ha intervistato, con il supporto di Cionet, 214 fra Chief Security Officer, Chief Information Security Officer, Chief Information Officer, security manager e specialisti di grandi aziende italiane.

Al 64% hanno dichiarato che la disciplina dell’information security porta effetti positivi al business.
L’investimento che si effettua ha pesato mediamente per il 5% sul totale budget IT con picchi anche del 15%.
Per l’anno in corso, si stimano budget di sicurezza fra il 6 e il 9%, nonostante un rispondente su due trovi gli importi di investimento troppo cari e vorrebbe spendere meno.

Gli officer per la sicurezza
Quanto ai ruoli, il 23% delle aziende intervistate ha quello di CSO, il 21% quello di CISO, il più delle volte in aziende dei comparti finanza, PA e logistica.
Nella sanità e nella manifattura le competenze di sicurezza sono ancora in mano al CIO.
Ma si stanno anche affacciando nuovi ruoli, come il Chief Risk officer (CRO) e il Chief Compliance officer (CCO), competenze che afferiscono alla sfera del risk manager, presente in un’azienda su due del comparto manifatturiero e pubblico e nella quasi totalità del mondo finance.
A questi soggetti stanno piacendo le piattaforme GRC, di Governance, risk e compliance (uno su tre).
Riguardo la sicurezza mobile, tutte le imprese monitorano il parco dei dispositivi con soluzioni di mobile device management e sul cloud c’è una sostanziale fiducia: il 60% degli intervistati ritiene i servizi sicuri.

Una ricerca, insomma, che per Sortino sa estrapolare il sentiment di CIO e CISO sulla problematica, che sa far emergere la visione allargata della disciplina e la concatenazione.
Dalle cifre di budget espresse risulta che non appena ci si rende conto che la leva della sicurezza non è dentro, ma fuori le aziende, ci si adegua.
Tutti i segmenti di industria vanno in questa direzione. Ma allora si parla di CIO o di CISO? «Nella maggior parte delle aziende c’è almeno uno dei due ruoli – dice Sortino -. Il CISO si occupa più dell’accesso ai dati. E quando la sicurezza diventa strategica, diventa CSO, sale le scale e riporta al CEO. È una linea di budget che si aggiunge».

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome