L'atteggiamento delle aziende verso la sicurezza IT si è fatto più maturo negli ultimi anni, indipendentemente dalla dimensione delle aziende stesse.

L'IT security una volta era un male necessario, ora si è capito che serve un'attività di controllo e protezione costante per evitare brecce nella rete.

E che queste non sono solo un problema tecnico ma hanno conseguenze molto nette sulla reputazione e sui conti dell'azienda che le subisce.

Premesso questo, che è comunque un fatto positivo, resta vero che la gran parte delle imprese non effettua un monitoraggio dell'efficacia delle misure di protezione che ha messo in atto per la sicurezza IT.

Non si valutano cioè le metriche collegate alla sicurezza, né si considera questa in un'ottica di valutazione del rischio e nei suoi possibili impatti sul business.

Diversi vendor ma anche organizzazioni indipendenti hanno condotto studi a campione che mostrano come anche gli investimenti in sicurezza IT, sebbene corposi, vengano delineati senza raffrontarli a una valutazione delle best practice e in ottica di risk management.

In buona parte è un problema legato a un dialogo non ottimale tra tutte le parti coinvolte: CIO, CISO (o responsabili della sicurezza) e business manager.

Una lingua comune che può favorire questa comunicazione parte dalla definizione degli indicatori di performance (KPI) e di rischio (KRI) più opportuni.

Analizzando il contesto di business collegato all'infrastruttura IT che lo supporta si possono identificare gli indicatori giusti per "fotografare" lo stato dell'azienda di fronte ai rischi IT e di business.

Questi KPI e KRI vanno ovviamente poi valutati e interpretati, derivandone le indicazioni su come migliorare.

Intorno al tema della sicurezza IT bisogna insomma coinvolgere tutte le parti interessate, che non sono solo quelle tecniche ma anche quelle legate al business. Il processo è, prevedibilmente, sempre in atto.

La valutazione di KPI e KRI è costante e anche la loro analisi deve avvenire regolarmente per seguire l'evoluzione dello scenario sicurezza e mantenere l'azienda protetta, quantomeno nei limiti del possibile.