Dal secondo volume del Symantec It Risk Management Report, redatto dalla società mediante interviste a 400 professionisti It mondiali, emerge un sostanziale aumento della loro consapevolezza nei confronti dell’importanza della gestione del rischio It. …
Dal secondo volume del Symantec It Risk Management Report, redatto dalla società mediante interviste a 400 professionisti It mondiali, emerge un sostanziale aumento della loro consapevolezza nei confronti dell’importanza della gestione del rischio It. Ma Symantec fa notare che sussistono ancora alcuni miti: nonostante i professionisti del settore stiano optando per un approccio più equilibrato che tiene conto di vari aspetti (sicurezza, disponibilità, conformità e rischi prestazionali), persistono interpretazioni errate della gestione del rischio It che possono portare a insuccessi dell’infrastruttura It.
Il report evidenzia anche che i problemi di processo possono causare il 53% degli incidenti It e che spesso i responsabili It sottovalutano la frequenza degli episodi di perdita dei dati.
Secondo i ricercatori, i quattro miti associati al rischio It sono: la gestione del rischio riguarda solo la sicurezza It; la gestione del rischio può essere affrontata con un singolo progetto; la tecnologia da sola può gestire il rischio; la gestione del rischio è una disciplina formale.
Per quanto riguarda il rischio It come sinonimo di rischio sicurezza, i risultati dello studio rivelano l’emergere di una visione più ampia da parte dei professionisti It: il 78% degli intervistati ha attribuito definizioni quali “critico” o “serio” al rischio di disponibilità, contro quello legato alla sicurezza, alle prestazioni e alla conformità normativa, rispettivamente con il 70%, 68% e 63%. Una così bassa differenza di punti percentuale fra le tipologie di rischio considerate indica che i professionisti It stanno adottando un approccio più equilibrato nei confronti del rischio It, con una visione meno focalizzata sulla sicurezza.
Sul fatto che la gestione del rischio It sia ritenuta un progetto da sviluppare singolarmente, o, peggio, come una serie di interventi puntuali distribuiti in diversi periodi di budget o su più anni, lo studio rivela come le organizzazioni più efficienti adottino invece un approccio olistico.
Il 69% prevede un incidente It di piccola entità una volta al mese, il 63% prevede un incidente di grande entità almeno una volta all’anno, il 26% prevede un incidente normativo per mancata conformità almeno una volta all’anno e il 25% prevede un incidente di perdita di dati almeno una volta all’anno.
Che poi la tecnologia da sola possa mitigare il rischio non lo pensano più in molti: secondo lo studio, i problemi legati ai processi aziendali causano il 53% degli incidenti It. I problemi sono, per esempio, in uno scarso controllo di inventari e asset, in una non efficiente gestione del ciclo di vita dei dati, in processi e oggetti che sono sovraprotetti a danno di altri, sottoprotetti dal rischio It, con inefficienze in termini di costi e servizio.
Infine, che la gestione del rischio It sia diventata un fatto formale non è scontato. Lo studio evidenzia come la gestione del rischio It sia una disciplina di business in evoluzione, piuttosto che una scienza. Ciò dipende dalla fiducia nell’esperienza di individui e organizzazioni che devono stare al passo con ambienti tecnologici e di business in cambiamento. Esiste una comprensione più profonda del fatto che la gestione del rischio It integra elementi di gestione operativa del rischio, di controllo della qualità e di governance sul piano business e It.
