La sicurezza dell’IT esce dai confini ristretti della tecnologia per sforare in quelli, di ben più vasta portata, del business aziendale. Così racconta uno studio realizzato da IBM sulla figura del Chief Information Security Officer (titolo: Finding a strategic voice: Insights from the 2012 IBM Chief Information Security Officer Assessment) dal quale emerge come la protezione di infrastrutture, applicazioni e dati sia diventata una priorità per le organizzazioni più lungimiranti ed evolute.
I tre profili identificati dallo studio di IBM
Le interviste condotte in sette Paesi su 138 a senior executive di
business e direttori IT – il 20% dei quali in aziende con oltre 10mila
dipendenti, il 55% in realtà da tra i mille e i 10mila – svelano un
cambiamento di ruoli in corso: chi si occupa di sicurezza delle
informazioni è visto sempre meno come un responsabile del supporto
tecnico, e
sempre più come una figura da coinvolgere nei processi decisionali. E il 60% delle organizzazioni più evolute cita la sicurezza come argomento regolarmente trattato a livello di consiglio.
Il cambiamento è ancora parziale, dal momento che oggi solo un quarto dei Ciso interpellati già riveste un ruolo strategico in azienda, ma rappresenta uno squarcio su un probabile futuro. IBM ha etichettato questo 25% di avanguardisti come
“influencer”, professionisti che godono di maggior considerazione da parte di manager e dirigenti e che vantano una migliore preparazione rispetto ai colleghi rientranti nelle altre due categorie, quella dei
“protector” e quella dei
“responder”.
La prima corrisponde a circa la metà dei Ciso considerati dalla survey: si tratta di professionisti che riconoscono l’importanza strategica della sicurezza IT, ma a cui manca autorità (specie in riferimento alla gestione del budget) per poter influenzare le strategie dei decision maker aziendali. I semplici “risponditori” rappresentano l’identità più tradizionale e meno evoluta del Chief Information Security Officer, impegnata a mettere in atto le indicazioni che arrivano dall’alto, in osservanza di policy e budget giù pianificati da altri.
“Questi dati – commenta
David Jarvis, autore del rapporto e senior consultant dell’IBM Center for Applied Insights – tracciano il profilo di una nuova classe di Chief Information Security Officer, che sta sviluppando una voce strategica e sta aprendo la strada a un atteggiamento più proattivo e integrato rispetto alla sicurezza delle informazioni”.
“Vediamo – prosegue Jarvis – che il percorso del Ciso sta maturando secondo un modello simile a quello osservato nei Chief Financial Officer degli anni Settanta, e nei Chief Information Officer degli anni Ottanta: da ruolo tecnico a supporto strategico del business. Ciò dimostra quanto la sicurezza dell’IT sia diventata parte integrante delle organizzazioni”.
Verso un approccio olistico alla security
Il cambio di identità dei Chief Information Security Officer è diretta conseguenza del fatto che la sicurezza IT sta diventando sempre più una questione da maneggiare con cura, pena la compromissione di alcuni fra i beni più preziosi per l’azienda: denaro, dati dei clienti, proprietà intellettuale e marchio.
Quasi due terzi dei Ciso intervistati dal centro ricerche di IBM
riconoscono che i dirigenti di alto livello oggi prestano più attenzione
a questi temi rispetto a due anni fa, con particolari preoccupazioni
rivolte alla sicurezza mobile. Sempre secondo i due terzi del campione,
inoltre, da qui al 2014 la spesa per garantire protezione a dati,
applicazioni e infrastrutture aziendali aumenterà; nell’87% delle
risposte, questo incremento sarà a doppia cifra.
Oltre al “quanto” le aziende spendono per difendersi, cambieranno anche il “quando” e il “come” delle azioni intraprese: ci si sta orientando sempre più verso una gestione del rischio intelligente e olistica, ovvero basata sulla prevenzione dei danni anziché sull’intervento correttivo a posteriori.
Come segnale concreto di questo nuovo approccio, una parte delle aziende (il 68% di quelle più avanzate e il 26% di quelle meno evolute) ha già istituito al suo interno un “comitato di rischio”, cioè un team di persone trasversale alle divisioni aziendali – legale, operativa, finanza e risorse umane – incaricato di pianificare azioni preventive per il contenimento degli incidenti IT.
Altri progressi verso l’era 2.0 della sicurezza IT, già messi in pratica dalle aziende più lungimiranti, riguardano il monitoraggio automatizzato di metriche standardizzate, che possa nel tempo fornire dati da analizzare e, in ultima analisi, creare quella che IBM definisce una “cultura consapevole del rischio”. C’è poi la questione delle risorse economiche: il 71% delle organizzazioni più evolute ha una voce di budget dedicata alla sicurezza, rispetto al 27% del gruppo meno maturo.
“In un’era iperconnessa – riflette Marc van Zadelhoff, uno degli autori del rapporto e vice president of strategy di IBM Security Systems
– la sicurezza pone una nuova serie di sfide, che tuttavia possono
essere enormemente alleggerite realizzando prassi innovative e
adottando un approccio olistico più integrato”.
Alcune caratteristiche dei tre profili