L’importanza della Information security

Il Custodire i propri dati, evitare minacce esterne e risolvere con efficienza le problematiche in caso di disaster recovery. Come si strutturano le aziende che puntano sulla sicurezza delle informazioni? Ecco l’analisi dell’Osservatorio della School of Management del Politecnico di Milano

Nel suo secondo anno di vita l’Osservatorio Information Security Management della School of Management e dell’ICT Institute del Politecnico di Milano ha condotto un’indagine finalizzata a identificare i trend emergenti del mondo ICT Security, in termini di confi gurazione organizzativa, posizionamento e dimensionamento delle unità organizzative coinvolte e budget dedicato, e ad analizzare il processo di pianifi cazione strategica con particolare riferimento alle metodologie di risk analysis. La ricerca si è basata su un’analisi empirica consistente in oltre 15 casi di studio di imprese operanti nel settore bancario, storicamente più sensibile a queste tematiche; in seguito sono state erogate due survey: la prima inviata a un panel di oltre 400 Chief Information Offi cer (CIO) di grandi imprese operanti in diversi settori (Assicurativo, Automotive, Bancario, Chimico, Farmaceutico, Servizi ICT, Telecomunicazioni, Utility), la seconda inviata a un panel di oltre 70 Chief Information Security Offi cer (CISO) operanti nel settore bancario. Il 48% dei CIO coinvolti dichiara un trend in crescita, mentre nei restanti casi non si registrano variazioni rilevanti rispetto all’anno precedente. Solo il 6% delle imprese rispondenti ha dichiarato un trend in calo, valore signifi cativo anche a fronte della diffi cile situazione economica. Per la maggior parte dei CIO (il 57%) l’entità del budget in ICT Security è compresa tra 1% e 5% del budget ICT complessivo. Il 25% dichiara che la rilevanza strategica dell’ICT Security porta l’azienda a stanziare un budget annuale che supera il 5% del budget complessivo ICT. Solo il 18% degli intervistati dichiara un budget ICT Security minore dell’1% del budget ICT.

In base alle risposte dei CIO, solo per il 7% delle aziende non è presente alcun responsabile dell’ICT Security, che sarà però introdotto a breve, mentre il 12%, non ne prevede la presenza. Inoltre emerge come nel 72% dei casi sia presente un responsabile dedicato all’ICT Security all’interno della Direzione ICT. Di questo, nel 51% delle aziende il responsabile riporta direttamente al CIO, a testimonianza del valore strategico dell’unità. Nel 9% dei casi, invece, viene dichiarata l’esistenza di un responsabile dedicato collocato al di fuori della Direzione ICT. La struttura di ICT Security nel 61% dei casi è presidiata da una sola persona. Nel 22% le risorse dedicate crescono e possono variare da 2 a 5. Da evidenziare come al crescere delle dimensioni della direzione ICT cresca anche il numero di risorse allocate sui temi di ICT Security: troviamo infatti che nel 3% dei casi per persone coinvolte variano da 6 a 10, mentre per ben il 14% delle aziende l’unità supera le 10 persone. L’82% ricorre a metodologie di Risk Analysis; tuttavia, solo il 16% le utilizza sistematicamente (in modo strettamente strumentale all’elaborazione del piano di security, o anche nell’ambito di altre analisi periodiche), mentre ben il 66% vi ricorre in modo episodico. Per esaminare a fondo le peculiarità di tali analisi sono stati coinvolti anche i CISO. Sono state individuate tre metodologie di risk analysis di riferimento, di cui sono state analizzate le caratteristiche, con l’obiettivo di ritrovare trend e modelli ricorrenti.

Le tre metodologie sono: Progettazione Nuove Iniziative: viene svolta all’inizio di un nuovo progetto; • Disaster Recovery: viene svolta affi nché un’organizzazione possa rispondere in maniera effi ciente ad una situazione di emergenza; • Adempimenti Normativi: viene svolta per essere compliant alla normativa e alle sue evoluzioni nel tempo. Dai risultati emerge come tutte queste analisi siano realizzate da almeno il 71% delle aziende, con un picco del 90% per “Adempimenti Normativi”. Tra le caratteristiche di tali analisi, è stata indagata la tipologia di input che viene impiegata. Il 65% dei rispondenti indica l’analisi AS IS come la più utilizzata nel complesso delle tre metodologie individuate, mentre le serie storiche degli eventi sono poco impiegate, probabilmente per la diffi – coltà di tenere traccia di ciò che avviene tramite appositi database. Una terza tipologia di input è l’analisi degli scenari, che, sebbene sia utilizzata mediamente dal 35% dei rispondenti, assume una certa rilevanza (57%) per quanto riguarda la metodologia “Progettazione Nuove Iniziative”. A conferma di questi risultati si rileva che per la raccolta delle informazioni si fa solitamente ricorso a checklist e schede (62%): la situazione AS IS, infatti, è facilmente ricostruibile interpellando le persone che la vivono ogni giorno. Ad ulteriore conferma dei dati ottenuti riguardo le tipologie di input, vediamo anche che l’incident database è la fonte informativa meno utilizzata (27%), con conseguente basso ricorso ad analisi di serie storiche. Importante, inoltre è la possibilità di utilizzare semilavorati comuni per le diverse risk analysis. A tal proposito vediamo che solo il 10% dei CISO/ CIO non sfrutta questa importante sinergia, a testimonianza dell’esistenza di comunicazione e collaborazione.