Accanto alle “mode” del momento – cloud e virtualizzazione, mobile e social media – l’Information security management è una delle voci che stanno in cima alle priorità future di investimento delle aziende italiane, per lo meno quelle con un budget di spesa per l’informatica superiore a due milioni di euro.
Questo il messaggio di sintesi, inequivocabile nell’economia delle scelte cui sono orientati i Chief Infomation Office, del report elaborato da Nextvalue (in collaborazione con il business network CIOnet) sulla base delle risposte fornite da 214 responsabili IT e della sicurezza di grandi imprese ed organizzazioni (anche pubbliche) operanti nel Belpaese.
Uno dei punti focali dell’indagine era il seguente: capire la rilevanza dell’Information Security Management rispetto alle strategie dettate dalla prima linea aziendale e al cambiamento e allo sviluppo sostenibile dell'impresa. Le risultanze del report sono in tal senso positive presupposto il fatto che il rischio informatico non è più materia solo di Cio, Ciso e Cso (Chief Information Security Officer e Chief Security Officer) ma assume, in relazione alla pervasità di fenomeni quali i cloud o la mobilità, i connotati di rischio strategico per l'intera organizzazione.
Secondo Alfredo Gatti, Managing Partner di Nextvalue, ci sono due indicazioni particolarmente interessanti da considerare: il fatto che si stia facendo strada una governance dell’Information Security sempre più integrata con la gestione dei rischi e della compliance e che le aziende italiane, rispetto al tema delle minacce informatiche, non siano sfavorite rispetto a quelle europee.
In altre parole, le imprese (migliori) di casa nostra non appaiono impreparate a quelli che sono i previsti passi in avanti in materia di lotta e prevenzione al cyber crimine, per cui – parole di Gatti – “occorre accelerare il processo di creazione di una intelligence comune, favorita dai governi, dalle organizzazioni a livello di industry e dai fornitori di tecnologia”.
La dinamica degli investimenti, gli impatti sul business e sull’organizzazione
Il dato che fa da cappello allo studio chiama in causa il 64% delle aziende censite: tante sono infatti quelle che riconoscono all’Information Security un incidenza positiva sul business, in modo molto critico (per il 20%) o rilevante (il 44%). “Senza questa componente – la sottolineatura di Gatti - il business si ferma, soprattutto in contesti come le banche o le Telco. È c’è una stretta correlazione fra impatti e budget destinati all’Information Security: più queste soluzioni sono considerate rilevanti, più il budget è consistente”.
Le banche, lo dice lo studio, sono le aziende più sensibili alla
tematica ma anche utilities, settore dei trasporti e logistica, sanità,
servizi e Pubblica Amministrazione dimostrano una certa attenzione
all’argomento. Manifatturiero, commercio e distribuzione denotano invece
un atteggiamento più tattico nei confronti della gestione della
sicurezza, con investimenti commisurati al rischio effettivo delle
attività di business ritenute critiche e comunque in un’ottica di
controllo dei costi.
In termini numerici, il valore medio di spesa in Information Secuirty
Management (prodotti, soluzioni e servizi) è pari a circa il 5%
dell’intero budget IT; più nel dettaglio pesa fra il 2 e il 5% nel 37%
dei casi e fra il 9 e il 15% nel 10% dei casi. La crescita degli
investimenti per il 2012 è stimata fra il 6 e il 9%. Banche e utilities
sono i settori più propensi a spendere mentre fra le motivazioni che
spingono le aziende ad investire in information security in testa c’è la
richiesta di compliance alle normative, citata dall’83% del campione, e
a seguire la prevenzione dei rischi collegati al sistema It (78%) e a
Internet (il 54%) e l’introduzione massiva di nuove tecnologie.
Quanto invece agli ostacoli che frenano gli investimenti, metà dei Cio coinvolti è dell’idea che siano i costi, il 40% evidenzia invece la difficoltà di dimostrare la necessità dell’investimento e il 38% la mancanza di cultura aziendale. Per il 21% degli intervistati, per contro, non esiste alcun elemento che giustifichi una riduzione della spesa in Information security.
Dal rapporto, infine, emerge con chiarezza come la tematica sia vissuta dalla grandi aziende con grande attenzione anche nell’ottica della presenza di figure dedicate come Ciso (Chief Information Security Officer) e Cso (Chief Security Officer), già parte dell’organigramma nel 21 e nel 23% dei casi rispettivamente, con punte percentuali che triplicano nei settori Finanza, Pubblico e Trasporti e Logistica. I Cio, in fatto di Information secuirty, sono coinvolti direttamente come responsabili dei progetti nell’80% dei casi mentre i Security Manager lo sono nel 49%.
Ma ciò che è più importante, secondo Next Value, è quanto segue: le aziende che hanno in organico Cso e Ciso sono anche quelle che hanno un budget di spesa superiore da investire nella sicurezza informatica. E alle porte iniziano a bussare anche i Cro (Chief Risk Officer) e i Cco (Chief Compliance Officer), figure che nelle banche sono ormai una presenza consolidata.
Lo stato dell’arte dell’Information Security in Italia, volendo fare un quadro di sintesi, è secondo Gatti il seguente: “è in atto un significativo sviluppo in termini di budget, competenze, organizzazione e ruoli e la tematica evolve in modo autonomo dall’IT ma ne rimane ad essa fortemente connessa. Inizia ad essere intelligence driver ma da parte delle aziende utenti occorre accelerare l’adozione di strategie integrate”. Un’accelerazione che è parte integrante di un cambiamento del modo di intendere e di fare IT che ancora solo (e non tutte) le grandi e medio grandi aziende (salvo le non poche eccezioni del caso) hanno recepito essere non più improrogabile.