Emerge la necessità di plasmare la strategia di security delle aziende sulle esigenze del business. Meta Group propone un approccio “adattivo”, che permette di mitigare i rischi sottoponendo a continua revisione le policy e tenendo conto anche di fattori difficilmente quantificabili.
Le organizzazioni divengono sempre più dinamiche e diversificate e questo, oltre ad aumentare sensibilmente la loro esposizione alle minacce del patrimonio informativo, rende obsoleti i tradizionali approcci all’information security. Si rende necessario un approccio di tipo business oriented, in contrapposizione a quello tradizionale, più accademico, che vede nel compito dei team addetti alla sicurezza It la prevezione e rimozione dei rischi, attuata selezionando la migliore soluzione tecnologica. I ricercatori di Meta Group, in questo senso, parlano di un approccio “adattivo” all’information security, nel quale l’obiettivo primario degli specialisti di sicurezza sia di mitigare i rischi, tarandoli in funzione delle strategie e dell’ambiente d’impresa. Il tradizionale approccio alla security era caratterizzato da un insieme monolitico di policy, scritto con periodicità generalmente triennale o, addirittura, quinquennale, che prevedeva la predisposizione di iniziative ad hoc solo in reazione a specifici eventi dannosi. Un moderno approccio alla sicurezza è, invece, incentrato sui processi, enfatizzando i principi del miglioramento continuo e della collaborazione stretta tra specialisti di sicurezza e top management, per permettere un reale tuning delle soluzioni sulla base dei requisiti di business. La definizione dei budget implica, da sempre, il tentativo di conciliare elementi contrastanti quali il costo di un prodotto o di un servizio rispetto al ritorno previsto sull’investimento. Quando si parla di sicurezza, tuttavia, quantificare il ritorno previsto risulta piuttosto difficile, mentre più facile è risalire ai costi. I rischi reali, quindi il Roi potenzialmente più elevato sugli investimenti in sicurezza, riguardano la protezione dell’organizzazione dalle perdite correlate a tre fattori chiave, riconducibili normalmente alle normative, ai profitti e alla reputazione. La reputazione, legata sia alle normative che ai profitti, è il fattore più difficile da quantificare ma anche il più costoso. La cattiva pubblicità causata da una violazione della sicurezza può, infatti, mettere in ginocchio un’azienda. Il primo passo per valutare le esigenze di sicurezza consiste nell’identificazione delle risorse da proteggere. Le perdite legate alla riservatezza, integrità o disponibilità dei dati possono essere quantificabili in denaro oppure essere intangibili, nel caso in cui riguardino la reputazione. Una volta identificate le risorse, è necessario concentrarsi sulle minacce interne ed esterne cui sono soggette le aree di vulnerabilità. Le minacce possono assumere le forme più disparate, quali i disastri naturali, i tentativi di sabotaggio o i furti. Le aree di vulnerabilità sono, invece, i punti di debolezza o le misure di sicurezza che non si rivelino efficaci. Dopo aver identificato risorse, minacce e aree di vulnerabilità che le mettono a rischio, è fondamentale riuscire a valutare qual è, per l’organizzazione, il costo per l’intero ciclo di vita delle singole risorse, oltre a determinare il valore che tali asset hanno in termini di produzione, ricerca e sviluppo e il ruolo che esse ricoprono per la strategia di business. Una chiara identificazione della situazione permette, infatti, di determinare quale sarebbe il costo associato alla perdita delle risorse e di confrontarlo con il costo richiesto per proteggerle. In apparenza, il management sta iniziando a percepire chiaramente questa situazione. Il Roi, generalmente un fattore critico nella valutazione degli investimenti in tecnologia, non viene normalmente considerato una misura significativa dell’efficacia della spesa nell’ambito della sicurezza informatica. La definizione del Ritorno sugli investimenti associato alla sicurezza (Rosi, Return on security investment) non è facile, tuttavia i responsabili It devono impegnarsi a sensibilizzare il management sui rischi che le aziende devono affrontare. Se si continua, come è ancora opinione diffusa, a considerare il Rosi semplicemente in termini di costi di prodotto e risorse It (si veda box), le aziende rischiano di perdere la visione d’insieme. La sicurezza deve, in questo rinnovato contesto, essere considerata sempre più come un’entità profondamente calata nella realtà d’impresa, alla stregua di qualsiasi altro aspetto della catena del valore.
