Fare un’attenta analisi dei rischi in modo trasversale alle diverse funzioni aziendali

Ridurre l’It security solo a un problema di hardware e software è sbagliato, se non si acquisisce una filosofia della protezione a tutto tondo. Sergio Fumagalli, vicepresidente di Zeropiu, spiega che oggi l’errore è affrontare il problema della protezione logica dei dati come tema a se stante, in un’ottica puramente tecnologica: «Il dato deve essere invece protetto in ogni fase della sua vita e in ogni forma in cui viene trattato, pena la sostanziale inefficacia delle misure di tutela adottate. Non si tratta, dunque, di un problema It, ma di un tema aziendale con forti implicazioni tecnologiche che richiede una seria attività di risk analysis condotta in modo trasversale alle diverse funzioni aziendali». A essere interessati sono, soprattutto, i processi di business e l’intera organizzazione, anche sotto la spinta delle crescenti necessità di compliance con normative e regolamenti e dell’esigenza di governare con efficienza imprese e processi sempre più complessi e informatizzati. «Purtroppo, l’analisi dei rischi, anche quando è richiesta da normative e leggi, viene spesso condotta in modo puramente formale e superficiale, senza che le sia attribuita, nemmeno dal top management, la necessaria importanza».

Un’attenta valutazione delle minacce e delle vulnerabilità, per indirizzare il budget nella giusta direzione, ricorda Guido Benfante, solution group manager di Csc, è poi fondamentale anche quando il responsabile It sceglie di dare in outsourcing certi servizi, come quelli di e-mail security, e-mail filtering, antivirus, spyware, backup/restore e protezione perimetrale: «Le soluzioni offerte da tali servizi possono fornire alle aziende che li scelgono vantaggi in termini di flessibilità, scalabilità, affidabilità e conformità. E, assieme all’analisi dei rischi, occorrerà valutare con attenzione anche gli standard di sicurezza, le relazioni con i fornitori e l’integrazione con i sistemi informativi».