Il tema dell’information security è da anni protagonista di un ampio dibattito a livello nazionale e internazionale, ma a questo argomento non è ancora attribuita la giusta rilevanza nelle imprese, anche perché in molti casi è vissuto ancora soprattutto come un problema tecnico, sottovalutando i risvolti strategici e la pervasività dell’Ict. Per questo l’Osservatorio Information Security Management creato dalla School of Management del Politecnico di Milano insieme al Cefriel e Reed Exhibitions Italia ha voluto affrontare, all’interno della ricerca “Ict security: quale governance?” il tema della sicurezza Ict, intesa come insieme di misure volte a garantire la security delle informazioni immagazzinate e veicolate utilizzando le tecnologie Ict, e a permettere la disponibilità e il regolare funzionamento dei sistemi e delle applicazioni Ict.
«La ricerca si è basata su di un’analisi empirica, consistente in oltre 30 casi di studio di grandi imprese operanti in diversi settori, cui è seguita una survey inviata a un campione di oltre 300 Chief information officer», spiega a ZeroUno Paolo Maccarrone (nella foto), responsabile scientifico dell’Osservatorio. «Difficile è scindere le due analisi, perché sono tra loro complementari e gli aspetti qualitativi sono più importanti di quelli quantitativi. La prima indagine ha considerato grandi aziende di diversi settori tra cui banking, telco, manufacturing e industrial goods, grande distribuzione organizzata e media. In questo caso sono stati soprattutto i Cso e altri responsabili alla sicurezza a rispondere. Ma la survey ha completato il tutto, aggiungendo anche il punto di vista dei Cio, che spesso vede il problema della sicurezza in modo diverso rispetto al Chief security officer. Senza dimenticare poi che, nelle aziende di dimensione più limitata non c’è un responsabile della security, ma spesso è lo stesso responsabile It ad affrontare i problemi della sicurezza».
L'organizzazione varia in rapporto alle esigenze delle imprese
In base alla ricerca condotta esistono diversi modelli macro-organizzativi riguardo alla gestione dell’information security (da noi analizzati sul numero di marzo all’interno dello ZeroUno Secuirty Journal; l’articolo è disponibile online all’interno del Web Security Journal – www.zerounoweb.it). «Le diverse strutture organizzative variano in rapporto alle esigenze delle imprese, sono in continua evoluzione e mutano in relazione ai cambiamenti delle aziende», commenta Maccarrone. «A volte le aziende passano da un modello multiplayer, in cui la responsabilità dell’attività di progettazione e/o identificazione dei sistemi e delle soluzioni è assegnata a un’apposita struttura organizzativa che ha il compito di fungere da interfaccia privilegiata di corporate security nell’Ict, a un Ict centrico in cui l’unità organizzativa responsabile del governo si occupa della definizione delle policy di dettaglio e delle procedure operative, di pianificazione e controllo, di progettazione e identificazione di sistemi e delle soluzioni, di monitoraggio, mentre le unità organizzative di Solutions e Operations hanno responsabilità sull’implementazione dei sistemi e delle soluzioni e sulla loro gestione operativa».
«Alcune imprese hanno le idee chiare in materia di sicurezza, come quelle del settore banking, in cui temi quali truffe, frodi, trasferimenti illeciti di denaro sono argomenti molto importanti da affrontare», afferma Maccarrone. «Anche in ambito Telco c’è molta sensibilità alla definizione di indirizzi e piani strategici dell’information security. Per un’azienda che vuole crescere è importante la presenza di un piano di sicurezza sul medio-lungo periodo, in cui è fondamentale considerare esigenze quali l’espansione su nuovi mercati e la necessità di introdurre cambiamenti di tipo tecnologico».
«Se si considerano, però, le aziende di media dimensione, non esiste un vero e proprio piano di Ict security a medio-lungo termine; molte di esse hanno un orizzonte temporale piuttosto limitato e non riescono a valutare l’importanza di inserire nuove tecnologie e sistemi in materia di sicurezza», sottolinea Maccarrone. «Si naviga a vista, si interviene perché c’è una nuova legge a cui bisogna adeguarsi oppure perché si è subìto un attacco: l’ottica, insomma, è più reattiva che proattiva».
Dalla survey, emerge che il 59% delle aziende coinvolte non ha al proprio interno una direzione di corporate security; il restante 41% dichiara che la Direzione Corporate Security non si occupa di Ict; solo il 12% ha un’unità dedicata all’Ict Security all’interno della Direzione Corporate Security e il 9%, pur non avendo un’unità dedicata, presidia competenze Ict.
Secondo Maccarrone, «Molte aziende hanno difficoltà a elaborare metodologie, approcci alla valutazione della sicurezza. A volte non riescono a quantificare i danni, non sono in grado di comprendere se una soluzione tecnologica di Ict security è conveniente oppure no».
Perché si possa costruire davvero un’adeguata governance della sicurezza in un’azienda è importante risolvere problemi di tipo organizzativo e gestionale; deve essere fatto uno sforzo di razionalizzazione; deve esserci una maggiore strutturazione di processi e governance ad alto livello; si deve favorire il dialogo tra i vari dipartimenti aziendali. La sicurezza nell’ambito dei sistemi informativi deve essere vista anche in rapporto alla sicurezza fisica per realizzare un’organizzazione più integrata.
Puntare sulla formazione
Ma per costruire un’adeguata governance della sicurezza sarà determinante puntare anche sulla formazione. Perché le aziende, in futuro, a fronte di uno scenario sempre più caratterizzato da minacce e rischi in costante aumento, sappiano costruire appropriate governance al problema della sicurezza, è fondamentale che anche il mondo universitario tenga conto di queste esigenze e non trascuri la formazione delle giovani generazioni di manager, per prepararli maggiormente a queste tematiche.
«Bisogna superare le barriere che esistono tra i vari tipi di studi; deve esserci più integrazione tra competenze Ict e competenze gestionali, per far sì che le giovani risorse siano più preparate», commenta Maccarrone. «Affrontare correttamente il tema della governance Ict è una questione di cultura, di sensibilità; accrescere la sensibilità del top management riguardo a questi problemi è una sfida anche per noi. Per questo puntiamo all’organizzazione di iniziative culturali dirette non solo agli esperti di information security, ma a target diversi».