Report

Le metriche di sicurezza? Non servono a far comprendere meglio i rischi al management

L’opinione è dei professionisti IT (oltre 500) intervistati da Ponemon Institute

Pubblicato il 16 Lug 2013

sicurezza-150226101403

Le metriche di sicurezza non riescono ad aiutare gli esperti di IT a far comprendere meglio i fenomeni che riguardano la protezione degli asset aziendali.

A sostenerlo è Ponemon Institute, che snocciola i dati raccolti intervistando un campione internazionale di oltre 500 professionisti IT. Questi, secondo la survey, hanno difficoltà a comunicare in modo efficace la materia relativa alla sicurezza informatica ai propri dirigenti.

Lo studio era teso ad approfondire le tematiche della gestione della sicurezza basata sul rischio e, sulla scorta delle risposte degli intervistati, l’istituto di ricerca ne ha dedotto che gran parte dei professionisti IT non ritiene che le metriche di sicurezza siano una misura in grado di comunicare in modo efficace e preciso gli sforzi profusi nella protezione degli asset intangibili dell’azienda ai suoi dirigenti.

Mentre il 73% degli intervistati sostiene che le metriche sono importanti o molto importanti per un programma di sicurezza basato sul rischio, il 51% non crede che le metriche di sicurezza utilizzate dalla propria organizzazione siano in linea con gli obiettivi di business.

«Anche se la maggior parte delle organizzazioni fa affidamento sulle metriche di miglioramento operativo nel settore IT, più della metà dei professionisti intervistati sembra essere preoccupato in merito alla propria capacità di utilizzare le metriche per comunicare in modo efficace ai dirigenti le questioni relative alla sicurezza», ha dichiarato Larry Ponemon, presidente e fondatore del Ponemon Istitute.

Il problema di trovare metriche significative è piuttosto comune e a sostenerlo c’è anche la società di sicurezza Tripwire, che ha commissionato lo studio. Si tratta, inoltre, della più grande sfida per direttori dei servizi di sicurezza informatica (CISO), che cercano di usare le metriche di sicurezza per influenzare la leadership aziendale e per sviluppare delle best practice comuni da utilizzare nella gestione del rischio.

I risultati del report evidenziano un vuoto di comunicazione in merito alla sicurezza, che ancora esiste all’interno di parecchie organizzazioni. Secondo la ricerca, un potenziale fattore che contribuisce a creare ancora più confusione è che i professionisti della sicurezza ritengono tradizionalmente le metriche come una misura delle prestazioni operative, mentre i dirigenti tendono a valutare la sicurezza in base al costo a questa associato.

Tuttavia, nessuno di questi approcci ben si adatta a comunicare l’efficacia dei programmi di sicurezza basati sul rischio. Questa discrepanza dimostra il valore crescente che le capacità e le skill professionali legate alle aree della comunicazione stanno assumendo all’interno dei ruoli di gestione della sicurezza di alto livello, chiarisce l’indagine.

«Siccome i leader aziendali sono tenuti a rivelare all’esterno notizie e best practice relative ai rischi per la sicurezza della propria organizzazione, la domanda di dirigenti della sicurezza business-oriented e con buone capacità di comunicazione sarà in ulteriore aumento nel prossimo futuro», sostiene Ponemon.

Nell’autovalutare la propria efficacia nel comunicare tutti i fatti rilevanti sullo stato dei rischi di sicurezza agli alti dirigenti, il 47% dei professionisti IT ha detto di ritenersi “non efficace”. Quando è stato chiesto il motivo per cui non hanno creato delle metriche comprensibili dai dirigenti, il 53% degli intervistati ha detto che l’informazione su questo aspetto della sicurezza è troppo tecnica per essere capita da una persona “non tecnica”. Il 42% ha dichiarato che ciò non è stato fatto perché le questioni urgenti tendevano ad avere la precedenza e il 43% ha detto che solitamente usa comunicare con i dirigenti solo quando vi è un problema di sicurezza reale.

Più di un terzo ha detto che ci vogliono troppo tempo e risorse per ideare e costruire report con metriche comprensibili anche dagli alti dirigenti, mentre il 13% ha detto che i dirigenti non sono interessati a questo tipo di informazioni.

La relazione suggerisce che trovare nuove modalità per colmare questa lacuna e assicurare, così, una comunicazione realmente di successo è fondamentale per garantire la più ampia adozione dei programmi di sicurezza basati sul rischio. «L’onere di questo sforzo ricade, chiaramente, sui professionisti IT e sugli specialisti di sicurezza», conclude l’indagine.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Speciale Digital360Awards e CIOsumm.it

Tutti
Update
Keynote
Round table
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Approfondimenti
La sinergia tra CIO e CISO trasforma la cybersecurity in un obiettivo di business strategico
Approfondimenti 
Etica dell’innovazione tecnologica per i CIO: prima chiedersi perché. Poi definire cosa e come
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Approfondimenti
La sinergia tra CIO e CISO trasforma la cybersecurity in un obiettivo di business strategico
Approfondimenti 
Etica dell’innovazione tecnologica per i CIO: prima chiedersi perché. Poi definire cosa e come
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo

Articoli correlati

Articolo 1 di 2