31/10/2013 di Redazione

Chief information security officer in cerca di identità

Uno studio di Ibm svela quasi siano le best practice e i limiti nel lavoro dei responsabili della sicurezza in azienda: i tre quarti hanno già pensato a proteggersi dai rischi del cloud, mentre il mobile compunting è una preoccupazione più recente.

immagine.jpg

Un ruolo che non sempre permette di dormire sonni tranquilli, visto il carico di responsabilità sostenuto, ma sicuramente stimolante per il continuo evolversi delle sfide da affrontare. Anche quest’anno Ibm si è messa nei panni dei responsabili della sicurezza It nel suo report Chief Information Security Officer Assessment, che ha valutato approfonditamente tre aree che interessano questa professione, tra cui business practice, maturità tecnologica e metriche per la sicurezza.



Realizzata dal Center for Applied Insights di Ibm, in collaborazione con Ibm Security Systems e Ibm Security Services, l’indagine ha arruolato un 80% circa di intervistati dal medesimo pool di partecipanti alla ricerca del 2012, in modo da poter fotografare più coerentemente eventuali evoluzioni di scenario. Gli interpellati, sia Ciso sia dirigenti di alto livello, provenivano da una vasta gamma di settori e da quattro Paesi, lavorando nella maggioranza dei casi (oltre l’80%) in aziende di grandi dimensioni e con a disposizione budget per la sicurezza importanti (superiori a 1 milione di dollari in un caso su tre).

Il risultato di fondo conferma e accentua quanto già emerso lo scorso anno: il ruolo dei Ciso tende a diventare sempre più strategico. Quel che serve alle aziende, cioè, è non solo un esperto di tecnologia, ma anche un “business leader”, capace di affrontare i timori legati al rischio It e alle novità (come quelle, dirompenti, del cloud e del mobile). Inoltre, lo studio di quest’anno ha rivelato risultati, prassi d’avanguardia e una serie di limiti con cui si confrontano anche i leader della sicurezza più maturi. Tre, in particolare, le aree analizzate: business practice, maturità tecnologica e metriche di sicurezza.

Le business practice
Come avere un impatto reale sull’azienda, proteggendola al meglio? Gli intervistati sottolineano la necessità di una visione, di una strategia e di politiche di business solide, di una gestione del rischio completa e di relazioni di business efficaci. La sicurezza va quindi inquadrata in un percorso più ampio, confrontata con gli obiettivi dell’organizzazione. E non solo: anche comprendere i timori dei vertici aziendali è essenziale.

I responsabili della sicurezza più maturi incontrano regolarmente il consiglio di direzione e i vertici dell’organigramma, discutendo in queste occasioni temi quali l’identificazione e la valutazione dei rischi (se ne parla nel 59% dei casi), la soluzione dei problemi e delle richieste di budget (49%) e l’implementazione di nuove tecnologie (44 percento). La sfida in questo caso è quella di riuscire a gestire i vari timori aziendali sulla sicurezza.

La maturità tecnologica

Cambiano le tecnologie, cambiano i rischi e dunque le tecniche di difesa. La sicurezza del mobile computing è al primo posto fra le misure “implementate più di recente”, adottata da un quarto dei  Ciso negli ultimi dodici mesi. La principale sfida del mobile computing rispetto alla sicurezza, sottolinea Ibm, è quella di andare oltre le fasi iniziali, pensando di meno alla tecnologia e più alla strategia e alle politiche. A tal proposito, è ancora inferiore al 40% la quota di organizzazioni che hanno adottato delle policy relativamente all’uso dei device personali, sebbene questa sia una lacuna di cui i Ciso hanno consapevolezza e che la maggior parte prevede di colmare entro un anno.

L’altro grande tema, quello della nuvola, sembra aver già raggiunto un maggior grado di maturazione se guardato dal punto di vista della security: la privacy e il contenimento dei rischi in un ambiente cloud risultano ancora un motivo di preoccupazione, ma il 76% delle aziende ha già realizzato servizi per la sicurezza del cloud. Tra i più diffusi spiccano il monitoraggio e l’audit dei dati, unitamente a gestione delle identità federate e degli accessi (entrambi al 39%).  

In ogni caso, anche se il cloud e il mobile computing continuano a essere oggetto di grande attenzione in molte organizzazioni, le tecnologie fondamentali su cui si concentrano i Ciso sembrano essere altre. In particolare, fra le priorità spiccano  la gestione delle identità e degli accessi (51%), la prevenzione delle intrusioni e la scansione delle vulnerabilità della rete (39%) e la sicurezza del database (32%).


La metriche per la sicurezza
I responsabili della sicurezza usano le metriche soprattutto per indirizzare il budget e per argomentare nuovi investimenti in tecnologia, e talvolta come aiuto per sviluppare priorità strategiche per la security. In generale, però, le metriche tecniche e gestionali sono tuttora concentrate sulle problematiche operative.

Per esempio, oltre il 90% degli intervistati tiene traccia del numero di incidenti It, della perdita o del furto di record, dati o dispositivi e dello stato delle verifiche e della conformità: aspetti fondamentali che tutti i responsabili della security dovrebbero seguire. Un numero molto minore di intervistati, il 12%, inserisce invece le metriche di business e sicurezza nel processo di rischio aziendale, anche se i Ciso affermano che l’impatto della sicurezza sul rischio aziendale nel suo complesso è il loro più importante fattore di successo.

“È evidente”, spiega David Jarvis, autore della relazione e manager dell’Ibm Center for Applied Insights, “rispetto a quanto emerge da questo studio, che i responsabili della sicurezza devono concentrarsi sulla ricerca di un delicato equilibrio tra il dover sviluppare una strategia di gestione del rischio e della sicurezza con un approccio olistico e il dover adottare funzionalità avanzate e strategiche, quali mobilità e bring your own device”. Un conflitto di interessi dal quale i chief information security officer ancora devono districarsi.

scopri altri contenuti su

ARTICOLI CORRELATI