La sfida è riuscire a monetizzare il valore di un processo di sicurezza, in quanto non dà segnali concreti della sua strategicità in fatto di Roi
Il manager che si occupa di sicurezza, oggi si trova in una situazione più difficile rispetto al passato: è diventato un burocrate, un regolatore, un controllore. Secondo Orlando Mauro, manager consulting di Gartner: «Il Cso ha dovuto assumere tanti ruoli tra cui quello di comunicatore e governatore. Il rischio è che diventi uno sceriffo…senza stella. Nel senso che con i budget ridotti dalla crisi, i progetti sono ridotti per cui si tendono a mantenere i piani in essere che sono ovviamente già stati accettati.
L’approccio che prevede la condivisione dei progetti per la sicurezza insieme al business potrebbe aiutare il Cso ad avere maggior margine di azione sui nuovi progetti».
Qual è dunque consiglio di Gartner? «Scendere a dei compromessi: si può rinunciare a qualche componente di accessorio, cercando di investire dove il rischio è più basso, a patto che le decisioni siano condivise. Non può essere solo il Cio o il Cso a dover assumersi la gestione del rischio: anche il business deve condividere certe scelte, per cui è necessario che il profilo di rischio venga aggiornato frequentemente attraverso la formalizzazione di un bollettino della sicurezza». Il business, insomma, deve essere sempre informato in modo trasparente su quanto sta succedendo e quali sono le conseguenze delle decisioni intraprese. In questo senso è necessario che il security manager si dia da fare nello sviluppare una certa consapevolezza nel business: se c’è un taglio a una certa componente, gli effetti devono essere noti a tutti.
A dispetto della crisi, ci sono alcune componenti di spesa non discrezionali: normative, leggi, contratti, nonché aspetti etici e morali che coinvolgono aziende e fornitori, i quali devono identificare meccanismi economici sostenibili e socialmente responsabili, che garantiscano il rispetto delle regole e il funzionamento sociale delle leggi. Quali sono le cose irrinunciabili? «La protezione di base va mantenuta – ha ribadito Mauro -. Ci sono degli elementi dell’infrastruttura che devono essere salvaguardati attraverso un presidio costante che impone aggiornamenti e modalità di governance particolari, a cui non si può rinunciare, malgrado la riduzione dei budget. Nel momento in cui si ha un’infrastruttura di rete performante, scalabile e affidabile, si ha la possibilità di utilizzare questa per l’erogazione di servizi per la sicurezza delle persone e delle cose, come verifica degli accessi e sorveglianza, sfruttando diverse tecnologie che collaborano tra di loro: identificazione del personale anche visiva e via dicendo».
La sfida è riuscire a monetizzare il valore di un processo di sicurezza in quanto, proprio perché funziona, non dà segnali concreti della sua strategicità in termini di Roi. Per economizzare i costi di queste attività è necessario superare il dualismo esistente tra la sicurezza e le operation che, se risolte in un’ottica di ottimizzazione, potrebbero aumentare le capacità di protezione diminuendo i costi. Secondo Gartner, infatti, mentre la sicurezza è chiamata ad agire velocemente e a scoprire soluzioni, per cui ha senso spendere soldi e puntare sull’efficacia per arginare il rischio, le operation sono abituate a ragionare secondo diverse economie di scala, mediante processi e procedure ben definiti e maturi per garantire la massima efficienza nei livelli di servizio determinati e dettagliati. «È questo il motivo per cui le operation si candidano a gestire le minacce mature – ha concluso Mauro -. Troppo spesso capita che ci siano attività convenzionali, affidate a strumenti che sono da più anni in azienda e che hanno raggiunto una certa maturità, che pur necessitando di procedure di manutenzione semplici e strutturate, sono ancora gestite dalla sicurezza perché è sicurezza. Invece avrebbe senso migrare questa serie di attività sulle operation, privilegiando così le risorse di sicurezza per fare attività esplorative su minacce più nuove e meno mature, veicolando meglio gli investimenti».
Partendo dal presupposto che la sicurezza ha un ruolo abilitante per il business, Cio e security manager devono diventare propositori di valore, sempre più orientati al business e dunque meno alle attività di laboratorio di tipo meramente tecnico.
