Uno studio di Symantec su 400 responsabili It si propone di smontare i miti che limitano la gestione corretta del rischio, in favore di un approccio olistico.
Dal secondo volume del Symantec It Risk Management Report, redatto dalla società mediante interviste a 400 professionisti It mondiali, emerge un sostanziale aumento della loro consapevolezza nei confronti dell’importanza della gestione del rischio It.
Ma Symantec fa notare che sussistono ancora alcuni miti: nonostante i professionisti del settore stanno optando per un approccio più equilibrato che tiene conto di vari aspetti (sicurezza, disponibilità, conformità e rischi prestazionali), persistono interpretazioni errate della gestione del rischio It che possono portare a potenziali insuccessi dell’infrastruttura tecnologica.
Il report evidenzia anche che i problemi di processo possono causare il 53% degli incidenti It e che spesso i responsabili It sottovalutano la frequenza degli episodi di perdita dei dati.
Secondo i ricercatori i quattro miti comunemente associati al rischio It sono: la gestione del rischio riguarda solo la sicurezza It; la gestione del rischio può essere affrontata con un singolo progetto; la tecnologia da sola può gestire il rischio; la gestione del rischio è già una disciplina formale.
Per quanto riguarda il rischio It come sinonimo di rischio sicurezza, i risultati dello studio rivelano l’emergere di una visione più ampia da parte dei professionisti It: il 78% degli intervistati ha attribuito definizioni quali “critico” o “serio” al rischio di disponibilità, contro quello legato alla sicurezza, alle prestazioni e alla conformità normativa, rispettivamente con il 70%, 68% e 63%. Una così bassa differenza di punti percentuale fra le tipologie di rischio considerate indica che i professionisti It stanno adottando un approccio più equilibrato nei confronti del rischio It, con una visione meno focalizzata sulla sicurezza.
Il 63% degli intervistati ha poi affermato che gli incidenti che causano una perdita di dati impattano pesantemente sulle loro attività di business.
Sul fatto che la gestione del rischio It sia ritenuta un progetto da sviluppare singolarmente, o, peggio, come una serie di interventi puntuali distribuiti in diversi periodi di budget o su più anni, lo studio rivela come le organizzazioni più efficienti adottino invece un approccio di tipo olistico.
Il 69% prevede un incidente It di piccola entità una volta al mese, il 63% prevede un incidente di grande entità almeno una volta all’anno, il 26% prevede un incidente normativo per mancata conformità almeno una volta all’anno e il 25% prevede un incidente di perdita di dati almeno una volta all’anno.
Sono però ancora molte le realtà che sembrano non in grado di implementare i controlli fondamentali per la gestione del rischio, come la classificazione e la gestione degli asset: solo il 40% degli intervistati ha confermato di avere performance efficaci. Poi, solo il 34% dei partecipanti allo studio ritiene di disporre di un inventario aggiornato relativo al parco dispositivi mobili e wireless, elementi essenziali allo svolgimento delle attuali attività di business.
Che poi la tecnologia da sola possa mitigare il rischio non lo pensa quasi più nessuno: secondo lo studio, i problemi legati ai processi aziendali causano il 53% degli incidenti It.
I problemi risiedono, per esempio, in uno scarso controllo di inventari e asset, in una non efficiente gestione del ciclo di vita dei dati, in processi e oggetti che sono sovraprotetti a danno di altri, sottoprotetti dal rischio It, con conseguenti inefficienze in termini di costi e servizio.
Dal report, difatti, emerge che il problem management sta suscitando maggiore attenzione.
Infine, che la gestione del rischio It sia diventata una disciplina formale non è così scontato. Lo studio evidenzia come la gestione del rischio It sia una disciplina di business in costante evoluzione, piuttosto che una scienza. Ciò dipende dalla fiducia nell’esperienza di individui e organizzazioni che devono stare al passo con ambienti tecnologici e business in cambiamento. Esiste una comprensione più profonda del fatto che la gestione del rischio It integra elementi di gestione operativa del rischio, di controllo della qualità e di governance sul piano business e It. Inoltre, è possibile che i professionisti vedano la gestione del rischio It come un insieme di principi rigidi e di relazioni fisse applicabili universalmente attraverso settori verticali e aree geografiche.
Lo studio ha anche tratteggiato la situazione della gestione del rischio It nei mercati verticali. Chi lavora nel comparto sanitario si aspetta il maggior numero di incidenti It rispetto a tutti gli altri segmenti industriali. Il settore delle Tlc primeggia per quanto riguarda l’applicazione dei controlli alla gestione del rischio It, seguito dal comparto bancario e da quello dei servizi finanziari.
