giovedì, Novembre 21, 2024

Information Security Management Report 2012 – I risultati della ricerca

Milano 8 febbraio 2012 – Fare il punto sull’Information Security Management in Italia, analizzare gli investimenti, le competenze e gli strumenti messi in campo per la gestione della Compliance, del Rischio e della Governance complessiva dell’Information Security, che da specializzazione tecnica diviene disciplina di management e componente fondamentale della strategia di business: questi gli obiettivi di Nextvalue, società indipendente di ricerca e consulenza manageriale specializzata nel mercato IT, che oggi ha presentato l’Information Security Management Report 2012.

Il Report passa in rassegna i modelli ed i trend emergenti di questa Disciplina di Management e pone l’enfasi sulla sua rilevanza strategica, condivisa dalla prima linea aziendale in quanto abilita il business nell’economia digitale ed in tempi in cui l’uso pervasivo e crescente di Mobile Computing, Social Media e Cloud Computing annulla il significato convenzionale di Rischio IT, che da “problema” dell’Information System, assume la dimensione di Rischio Strategico per l’intera organizzazione. Gestire il rischio ed assicurare la conformità a normative e regolamenti è molto più complesso che in passato ed è sempre più la condizione necessaria perché i Clienti continuino a riporre la propria fiducia nell’impresa e perché quest’ultima disponga di un formidabile vantaggio competitivo.

Nextvalue ha potuto contare sulla collaborazione di un Panel di 214 Chief Security Officer (CSO), Chief Information Security Officer (CISO) e Chief Information Officer (CIO) di grandi aziende italiane, intervistati direttamente grazie al supporto di CIOnet©(www.cionet.com), il business network internazionale dei Direttori dei Sistemi Informativi più numeroso e attivo in Europa, che in Italia ha superato i 400 aderenti.

“Siamo particolarmente orgogliosi di contribuire al dibatto in corso sull’Information Security Management, grazie alla collaborazione con CIOnet©” – ha spiegato Alfredo Gatti, Managing Partner di Nextvalue “I risultati del nostro Panel mostrano chiaramente quanto l’Information Security Management sia strategico per l’operatività delle imprese e per evitare loro gravi rischi di immagine. Crescono gli investimenti, l’organizzazione ed i ruoli, si fa strada una Governance dell’Information Security sempre più integrata con la gestione dei rischi e della Compliance. I risultati non ci vedono sfavoriti rispetto all’Europa, anzi forse è tutta l’Europa che in questo momento sta facendo un salto di qualità; le stesse disposizioni annunciate dalla Comunità Europea tendono ad uniformare le normative dei singoli Paesi per creare un unico contesto di business e, in qualche maniera, per colmare il gap con gli Stati Uniti. Certamente per battere il Cybercrime o, quantomeno, per essere meglio al riparo dai suoi rischi, occorre accelerare sulla strada della creazione di intelligence comune, favorita dai Governi, dalle Organizzazioni di Industry e dai migliori Fornitori, e di una sicurezza maggiormente embedded nelle soluzioni e nei servizi. È mia convinzione che questi ulteriori passi avanti non trovino impreparate le migliori aziende italiane”. 

 

Impatto, investimenti, ostacoli dell’Information Security – Il 64% delle imprese del Panel ritiene che l’Information Security incida e abbia effetti positivi sul Business, in modo molto critico o rilevante. La maggioranza relativa del Panel (44%) ritiene l’impatto dell’Information Security rilevante per il business perché ne garantisce la continuità e aiuta a prevenire i rischi. Un ulteriore 20% lo considera molto critico.

Tra le Banche l’impatto dell’Information Security è indicato come molto critico dalla maggior parte dei rispondenti, perché fondamentale nella predisposizione ed erogazione di prodotti/servizi dell’azienda. Analogamente nelle Utilities, nei Trasporti e Logistica, nella Sanità, nei Servizi e nel Settore Pubblico l’Information Security, pur giudicata meno critica, è comunque fondamentale per la continuità delle operazioni e la salvaguardia dell’immagine dell’impresa.

Un terzo gruppo di rispondenti assegna al tema una rilevanza inferiore e di medio impatto: è il caso delle imprese Manifatturiere e di parti consistenti del Commercio e della Distribuzione. In questi ambiti prevale una strategia di protezione di aree particolari e di investimenti commisurati al rischio effettivo e, comunque, in un’ottica di controllo dei costi.

Per il nostro Panel l’investimento in Information Security misurato come percentuale del budget totale dell’IT, raggiunge un valore medio del 5%. Il range di Spesa risulta molto ampio: per gruppi significativi di aziende si arriva ad investimenti superiori anche al 15% e, ancor più importante, le previsioni di spesa media per il 2012 indicano che i budget destinati all’lnformation Security crescono con ritmi compresi tra il 6% ed il 9%.

Le stesse organizzazioni che hanno assegnato grande impatto all’Information Security mettono anche a disposizione i budget più importanti, ben oltre il 9% del budget IT. Ai primi posti vi sono le Banche e le Utilities.

Gli elementi che concorrono a determinare la Spesa in Information Security sono soprattutto la richiesta di Compliance alle normative, la necessità di prevenire i rischi legati a Internet, l’introduzione massiva in azienda di nuove tecnologie. Il dettaglio della Matrice di Attrattività degli investimenti nelle varie aree componenti l’Information Security Management rileva che oltre il 90% del Panel prevede investimenti in tutti questi ambiti.

Tra gli ostacoli che invece frenano gli investimenti in Information Security, il costo è l’elemento principale, indicato da circa un rispondente su due. Da segnalare però che per il 21% degli intervistati non esiste alcun elemento che giustifichi una riduzione degli investimenti in Information Security.

Organizzazione e ruoli dell’Information Security Management – Le aziende Top italiane hanno già costituito strutture dedicate e specialistiche, spesso affidando la responsabilità delle attività ad un Chief Security Officer (CSO) o ad un Chief Information Security Officer (CISO). Si tratta di una decisione che si va diffondendo in tutti i segmenti di mercato.

Già oggi la figura del CSO è presente nel 23% delle aziende del Panel e quella del CISO nel 21%. CSO e CISO sono più presenti nei segmenti della Finanza (68% degli istituti sono dotati di CSO o CISO), del Settore Pubblico (71%) e dei Trasporti e della Logistica (72%). Viceversa nella Sanità e nell’industria Manifatturiera più facilmente ci si affida al CIO, che assume anche la responsabilità del management dell’Information Security e dei relativi addetti.

Fatto importante, la presenza del CSO e del CISO è sempre più correlata alla presenza di un maggior budget di Spesa in Information Security.

In generale più figure concorrono con il loro ruolo alla gestione strategica e operativa dei processi di Information Security. Per esempio il Security Manager è presente nel 49% delle aziende del Panel e, nella maggioranza dei casi, riporta al CIO. Ad esso va attribuita una responsabilità operativa e di gestione delle procedure di sicurezza. Nel 36% dei casi è anche presente un Consulente esterno di sicurezza, che si relaziona direttamente con il CIO o con il CSO/CISO. Egli fornisce competenze complementari specialistiche in singoli ambiti o supporta l’allineamento a norme e best practice.

In alcune organizzazioni CSO e CISO, pur avendo una buona rappresentatività e visibilità aziendale, non rispondono ancora ai livelli più alti dell’azienda, rimanendo tipicamente un riporto del CIO. Ciò è sempre meno vero, in particolare, nelle Banche, dove CSO e CISO riportano al Board, dispongono di budget autonomi e sono responsabili della definizione di strategie e policy.

Altri ruoli chiave si affacciano sulla scena, come quelli del Chief Risk Officer (CRO) e del Chief Compliance Officer (CCO).

Il Risk Manager è responsabile della Governance efficace di tutti i rischi d’impresa e di coordinare le relative azioni. Riporta tipicamente al Board o al Chief Finance Officer (CFO), essendo il controllo del rischio finanziario il suo primo obiettivo. Il Risk Manager è presente nella quasi totalità delle Banche e Assicurazioni, nel 54% delle Aziende Manifatturiere e dei Servizi, nel 47% delle organizzazioni del Settore Pubblico e nel 32% nel Commercio e Distribuzione.

Il Chief Compliance Officer (CCO) ha come principale responsabilità il raggiungimento e il mantenimento della Compliance per l’organizzazione, incluso l’aggiornamento di procedure e processi per mantenere le prassi allineate con norme e regolamenti di settore, di internal audit, di gestione dei rischi e delle frodi, di sicurezza IT. É oggi presente nell’86% delle Banche intervistate e risponde gerarchicamente al livello alto della Direzione dell’Istituto. In altri segmenti invece è ancora poco presente o è una responsabilità condivisa a più livelli. Fanno eccezione le aziende multinazionali e, in questo caso, anche le multinazionali con headquarter in Italia.

Strategie integrate di Security Governance, Risk and Compliance Management – L’integrazione tra i diversi aspetti di Information Security Governance, Risk Management e Compliance Management avviene attraverso l’utilizzo di piattaforme che consentono di monitorare i parametri considerati più importanti, di condividere informazioni sulle policy e l’organizzazione, di abilitare i controlli, l’accounting e il reporting e consentono al Top Management di prendere decisioni.

Le piattaforme GRC rappresentano il segnale di una nuova frontiera dell’Information Security Management ed è molto confortante che l’adozione di piattaforme GRC sia di interesse per il 21% delle imprese del nostro Panel e che l’11% preveda di realizzarle nei prossimi 12 mesi.

Le misure finora adottate assicurano un livello di readiness che la maggior parte del nostro Panel giudica soddisfacente. Per il 66% del Panel vengono effettuati regolari Audit e altri controlli; i test di Vulnerability Assessment sono effettuati dal 63% degli intervistati e anche ambiti come la Formazione dello staff IT e l’utilizzo di consulenti esterni per mettere a punto linee guida rappresentano una situazione ampiamente positiva.

Di nuovo i livelli più elevati di readiness si riscontrano nelle Banche, mentre nel segmento Manifatturiero vi sono ancora margini di miglioramento e, in particolare, emerge un minore ricorso a misure di Vulnerability Assessment, elemento che potenzialmente apre la strada ad una maggiore esposizione ai rischi.

Information Security e Mobile Enterprise, Social Media e Cloud Computing – La survey ha opportunamente spaziato negli ambiti dei maggiori trend tecnologici in corso, primo fra tutti quello della Mobile Security.

Tutte le imprese monitorano il parco dei dispositivi mobili con piattaforme di Mobile Device Management (MDM), mentre la pervasività dei dispositivi favorisce la crescita esponenziale delle vulnerabilità. I risultati mostrano uno stato di adozione di contromisure già parecchio avanzato, con previsioni di nuova adozione elevate e comprese tra un 9% e un 25% per tutte le categorie di funzionalità analizzate. In particolare nei Trasporti e Logistica, Commercio e Distribuzione e Servizi, l’utilizzo di misure di Mobile Security è più avanzato.

Relativamente ai rischi connessi ai Social Media in ambito Business, le contromisure di sicurezza specifiche sono quelle di Web Security, ad oggi adottate già da oltre il 40% delle imprese che stanno facendo uso di Social Media. Altre misure concernono la revisione delle policy rivolte agli utenti per allertarli sui rischi associati a questa adozione, oltre che per l’upgrade degli strumenti già utilizzati.

Infine il forte interesse delle aziende verso l’offerta di servizi erogati in Cloud Computing privilegia i modelli di Private Cloud o di Hybrid Cloud, un segnale che va interpretato come la necessità di mantenere il controllo dell’infrastruttura e delle applicazioni nell’evoluzione verso soluzioni erogate in modalità as-a-Service.

Il tema della sicurezza e delle garanzie offerte soprattutto dagli ambienti di Public Cloud risulta l’elemento centrale nella determinazione della scelta del Provider e la condizione necessaria è che esso rispetti i seri parametri di sicurezza.

Il 60% del nostro Panel valuta sia i servizi PaaS e IaaS, sia quelli applicativi SaaS, molto o abbastanza sicuri. Invece per circa metà del Panel il proprio personale è poco o per niente informato sui rischi del Cloud Computing e la dotazione interna di policy e tecnologie per renderne più sicuro l’utilizzo dovrebbe essere migliore. Tra le misure che le imprese vorrebbero trovare come parte essenziale dell’offerta di servizi in Cloud Computing, al primo posto vi è il Controllo degli Accessi, seguito da misure di Business Continuity, di Audit, di Crittografia dei dati, di Segregazione o Multi-tenancy dei dati a livello fisico. Sono misure che impattano direttamente sull’utilizzo del servizio e sulle politiche aziendali di controllo, ma che servono anche ad aumentare la qualità del servizio stesso, la Compliance alle normative e l’affidabilità complessiva del Provider.

Valutazione dei Provider di Information Security – Sono soprattutto le attività di Vulnerability Assessment che qualificano molte società fornitrici che dispongono di competenze avanzate sulle nuove minacce e utilizzano tecniche più avanzate di test. I servizi per la verifica delle vulnerabilità sono svolti in modo periodico e questo spiega perché il ricorso a questa offerta rimane alto anche in prospettiva.

In ordine di importanza il ricorso a partner esterni avviene per la Business Continuity e per il Disaster Recovery e Backup. In questi casi il fornitore disporrà di skill e risorse che l’azienda non ha al proprio interno e dovrà assicurare che il servizio venga svolto in via continuativa.

Ai fini dell’analisi sono più importanti gli aspetti di Governance, Risk e Compliance Management, per i quali le aziende manifestano l’intenzione di mantenere al loro interno il controllo e la responsabilità. Laddove sono acquisiti servizi esterni si fa ricorso a consulenti specializzati, in grado di fornire un proprio apporto sul disegno dei processi e sulle modalità di controllo. Significativo il fatto che per questi servizi e per il disegno dell’architettura di sicurezza, la previsione è di una diminuzione degli investimenti esterni nel 2012.

In maggioranza le aziende preferiscono considerare molto importanti e core questi aspetti dell’Information Security Management e quindi sviluppare e detenere skill e competenze al proprio interno, in modo da averne un controllo maggiore. Questa tendenza è confermata anche dalla crescita nell’adozione interna di piattaforme integrate GRC, a supporto di una migliore gestione di questi aspetti, come visto in precedenza.

Infine giudichiamo positiva l’indicazione sulla spesa in Servizi di Formazione, che viene data in crescita anche nel breve periodo. È un segnale nuovo di quanto le imprese ritengano importante dotarsi di migliori competenze specialistiche.

Panel delle Imprese partecipanti alla ricerca – La ricerca ha previsto una serie di domande miste, a risposta singola e multipla. Il Panel italiano intervistato da Nextvalue è costituito da imprese Top. L’80% di esse ha un budget di spesa IT compreso tra i 2 ed i 10 milioni di Euro, il 7% tra i 10 ed i 20 milioni di Euro, il 13% superiore ai 20 milioni di Euro.

Le imprese appartengono ai diversi segmenti di mercato e, più precisamente, il 21% rappresentano l’Industria, il 12% il Commercio e la Distribuzione, il 10% le Banche, l’8% la Sanità, l’8% il Settore Pubblico, il 6% i Servizi, il 6% il Chimico/Farmaceutico, il 5% i Trasporti e la Logistica, il 5% le Costruzioni, il 4% le Utilities, il 4% il Food, il 4% le Telco, il 3% il comparto della Moda, il 3% le Assicurazioni e l’1% la Difesa.

I partecipanti sono nel 23% CSO, nel 21% CISO, nel 17% Security Manager, nel 37% CIO e nel rimanente 2% Specialisti della Sicurezza.

Le interviste sono state condotte in modalità online attraverso questionari sottoposti tramite la piattaforma CIOnet e offline mediante interviste telefoniche.

Articoli correlati

Noleggia una Tesla per il tuo evento ICT!

Categorie