Le metriche di sicurezza non riescono ad aiutare gli esperti di IT a far comprendere meglio i fenomeni che riguardano la protezione degli asset aziendali.
A sostenerlo è Ponemon Institute, che snocciola i dati raccolti intervistando un campione internazionale di oltre 500 professionisti IT. Questi, secondo la survey, hanno difficoltà a comunicare in modo efficace la materia relativa alla sicurezza informatica ai propri dirigenti.
Lo studio era teso ad approfondire le tematiche della gestione della sicurezza basata sul rischio e, sulla scorta delle risposte degli intervistati, l’istituto di ricerca ne ha dedotto che gran parte dei professionisti IT non ritiene che le metriche di sicurezza siano una misura in grado di comunicare in modo efficace e preciso gli sforzi profusi nella protezione degli asset intangibili dell’azienda ai suoi dirigenti.
Mentre il 73% degli intervistati sostiene che le metriche sono importanti o molto importanti per un programma di sicurezza basato sul rischio, il 51% non crede che le metriche di sicurezza utilizzate dalla propria organizzazione siano in linea con gli obiettivi di business.
«Anche se la maggior parte delle organizzazioni fa affidamento sulle metriche di miglioramento operativo nel settore IT, più della metà dei professionisti intervistati sembra essere preoccupato in merito alla propria capacità di utilizzare le metriche per comunicare in modo efficace ai dirigenti le questioni relative alla sicurezza», ha dichiarato Larry Ponemon, presidente e fondatore del Ponemon Istitute.
Il problema di trovare metriche significative è piuttosto comune e a sostenerlo c’è anche la società di sicurezza Tripwire, che ha commissionato lo studio. Si tratta, inoltre, della più grande sfida per direttori dei servizi di sicurezza informatica (CISO), che cercano di usare le metriche di sicurezza per influenzare la leadership aziendale e per sviluppare delle best practice comuni da utilizzare nella gestione del rischio.
I risultati del report evidenziano un vuoto di comunicazione in merito alla sicurezza, che ancora esiste all’interno di parecchie organizzazioni. Secondo la ricerca, un potenziale fattore che contribuisce a creare ancora più confusione è che i professionisti della sicurezza ritengono tradizionalmente le metriche come una misura delle prestazioni operative, mentre i dirigenti tendono a valutare la sicurezza in base al costo a questa associato.
Tuttavia, nessuno di questi approcci ben si adatta a comunicare l’efficacia dei programmi di sicurezza basati sul rischio. Questa discrepanza dimostra il valore crescente che le capacità e le skill professionali legate alle aree della comunicazione stanno assumendo all’interno dei ruoli di gestione della sicurezza di alto livello, chiarisce l’indagine.
«Siccome i leader aziendali sono tenuti a rivelare all’esterno notizie e best practice relative ai rischi per la sicurezza della propria organizzazione, la domanda di dirigenti della sicurezza business-oriented e con buone capacità di comunicazione sarà in ulteriore aumento nel prossimo futuro», sostiene Ponemon.
Nell’autovalutare la propria efficacia nel comunicare tutti i fatti rilevanti sullo stato dei rischi di sicurezza agli alti dirigenti, il 47% dei professionisti IT ha detto di ritenersi “non efficace”. Quando è stato chiesto il motivo per cui non hanno creato delle metriche comprensibili dai dirigenti, il 53% degli intervistati ha detto che l’informazione su questo aspetto della sicurezza è troppo tecnica per essere capita da una persona “non tecnica”. Il 42% ha dichiarato che ciò non è stato fatto perché le questioni urgenti tendevano ad avere la precedenza e il 43% ha detto che solitamente usa comunicare con i dirigenti solo quando vi è un problema di sicurezza reale.
Più di un terzo ha detto che ci vogliono troppo tempo e risorse per ideare e costruire report con metriche comprensibili anche dagli alti dirigenti, mentre il 13% ha detto che i dirigenti non sono interessati a questo tipo di informazioni.
La relazione suggerisce che trovare nuove modalità per colmare questa lacuna e assicurare, così, una comunicazione realmente di successo è fondamentale per garantire la più ampia adozione dei programmi di sicurezza basati sul rischio. «L’onere di questo sforzo ricade, chiaramente, sui professionisti IT e sugli specialisti di sicurezza», conclude l’indagine.
