Tre quarti dei responsabili della sicurezza hanno realizzato servizi per la sicurezza del cloud; la sicurezza del mobile computing rappresenta l’area di più recente focalizzazione
IBM ha pubblicato i risultati dell’edizione 2013 dell’IBM Chief Information Security Officer Assessment, che ha valutato approfonditamente tre aree che interessano i responsabili della security, tra cui business practice, maturità tecnologica e metriche per la sicurezza. Lo studio si basa sul know-how dei responsabili della sicurezza di IBM, esperti nel delineare una serie di prassi che aiutino a definire il ruolo del security officer.
Con le nuove opportunità offerte dalle tecnologie emergenti, come l’adozione del cloud e del mobile computing, cresce il rischio per i dati. Di fronte alle minacce sofisticate perpetrate dagli hacker, il ruolo del Chief Information Security Officer (CISO) all’interno delle organizzazioni sta diventando sempre più strategico. Oggi il CISO deve essere sia un esperto di tecnologia che un business leader, con la capacità di affrontare i timori, consigliare nel modo più opportuno, così come di gestire tecnologie complesse. Per aiutarli a proteggere meglio la loro organizzazione e comprendere come si posiziona il loro ruolo rispetto a quello di altri CISO, lo studio IBM CISO Assessment 2013 individua prassi e comportamenti che possono rafforzare il ruolo dei responsabili della sicurezza delle informazioni.
Lo studio di quest’anno ha rivelato risultati, prassi d’avanguardia e una serie di limiti con cui si confrontano anche i leader della sicurezza più maturi. Dall’analisi in profondità di tre aree – business practices, maturità tecnologica e metriche di sicurezza – emerge un percorso che funge da guida per i CISO, sia nuovi che esperti.
Business practice: affichè il loro ruolo abbia un autentico impatto, gli intervistati sottolineano la necessità di una visione, di una strategia e di politiche di business solide, di una gestione del rischio completa e di relazioni di business efficaci. Anche comprendere i timori dei vertici aziendali è essenziale. I responsabili della sicurezza più maturi incontrano regolarmente il consiglio di direzione e i vertici aziendali, migliorando così le relazioni. In questi incontri, i principali argomenti di discussione comprendono l’identificazione e la valutazione dei rischi (59 percento), la soluzione dei problemi e delle richieste di budget (49 percento) e l’implementazione di nuove tecnologie (44 percento). La sfida in questo caso è riuscire a gestire i vari timori aziendali per la sicurezza.
Maturità tecnologica: la sicurezza del mobile computing è al primo posto fra le tecnologie di sicurezza “implementate più di recente”, adottata da un quarto dei responsabili della sicurezza negli ultimi 12 mesi. E sebbene la privacy e la sicurezza in un ambiente cloud siano sempre motivo di preoccupazione, i tre quarti (76 percento) hanno realizzato servizi per la sicurezza del cloud: tra i più diffusi, il monitoraggio e l’audit dei dati, unitamente a gestione delle identità federate e degli accessi (entrambi al 39 percento).
Anche se il cloud e il mobile computing continuano a essere oggetto di grande attenzione in molte organizzazioni, le tecnologie fondamentali su cui si concentrano i CISO sono gestione delle identità e degli accessi (51%), prevenzione delle intrusioni e scansione delle vulnerabilità della rete (39%) e sicurezza del database (32%).
La principale sfida del mobile computing rispetto alla sicurezza è andare oltre le fasi iniziali e pensare meno alla tecnologia e più alla strategia e alle politiche. Meno del 40% delle organizzazioni ha adottato politiche di risposta specifiche per i dispositivi personali o una strategia aziendale per il BYOD (bring-your-own-device), ossia la possibilità per i dipendenti di utilizzare i propri dispositivi sul lavoro. Questa lacuna viene tuttavia riconosciuta, infatti la definizione di una strategia aziendale per il BYOD (39%) e una politica di risposta agli incidenti per i dispositivi personali (27%) sono le prime due aree di cui si prevede lo sviluppo per i prossimi 12 mesi.
Metriche per la sicurezza: i responsabili della sicurezza usano le metriche soprattutto per indirizzare il budget e per argomentare nuovi investimenti in tecnologia. In alcuni casi, usano le misurazioni come aiuto per sviluppare priorità strategiche per l’organizzazione della sicurezza. In generale, però, le metriche tecniche e gestionali sono tuttora concentrate sulle problematiche operative. Ad esempio, oltre il 90 percento degli intervistati tiene traccia del numero di incidenti di sicurezza, della perdita o furto di record, dati o dispositivi e dello stato delle verifiche e della conformità: aspetti fondamentali che tutti i responsabili della security dovrebbero seguire. Un numero molto minore di intervistati (12 percento) inserisce metriche di business e sicurezza nel processo di rischio aziendale, anche se i CISO affermano che l’impatto della sicurezza sul rischio aziendale nel suo complesso è il loro più importante fattore di successo.
“È evidente, rispetto a quanto emerge da questo studio, che i responsabili della sicurezza devono concentrarsi sulla ricerca di un delicato equilibrio tra sviluppare una strategia di gestione del rischio e della sicurezza che sia olistico e adottare funzionalità avanzate e strategiche, quali mobilità e BYOD”, spiega David Jarvis, autore della relazione e manager presso l’IBM Center for Applied Insights.
