[section_title title=Sicurezza e Privacy, a che punto siamo? – Parte 2]
Chief Information Security Officer e Data Protection Officer
I modelli di governance dell’information security sono variegati e prevedono la presenza, spesso anche la coesistenza, di diversi meccanismi di coordinamento. Sono nel 42% delle grandi imprese è presente in modo formalizzato la figura del Chief Information Security Officer (CISO), il professionista incaricato di definire la visione strategica, implementare programmi a protezione degli asset informativi e mitigare i rischi, mentre nel 10% è prevista l’introduzione nei prossimi 12 mesi. Nel 36% dei casi il presidio dell’information security è demandato ad altri ruoli in azienda, come un responsabile della sicurezza (CSO). Nel restante 12% non esiste una figura dedicata e non ne è prevista l’introduzione nel prossimo anno.
L’aumento dei dati e l’eterogeneità delle fonti informative rendono necessarie anche figure professionali per la gestione dei problemi della privacy. Il nuovo regolamento europeo sulla protezione dei dati che sta vedendo la luce prevede la possibile introduzione del Data Protection Officer (DPO). Già presente in alcune legislazioni europee, è il professionista con competenze giuridiche, informatiche, di gestione del rischio e di analisi dei processi aziendali che mette in atto la politica di gestione del trattamento dei dati personali per adempiere alle normative di riferimento. La figura è già formalizzata solo nel 21% delle grandi imprese, mentre in un 33%, pur non esistendo il ruolo, la responsabilità è demandata ad altre funzioni, nel 16% sarà introdotta nei prossimi 12 mesi, nel restante 30% per il momento non sarà inserita.
Le policy
Le policy di gestione dell’information security & privacy più diffuse sono quelle relative al backup dei dati (86%) e degli accessi logici (83%), alla regolamentazione scritta delle policy di sicurezza informatica aziendali (80%), alla regolamentazione sull’utilizzo degli asset informativi aziendali (79%). Sono meno comuni invece quelle sulla gestione dei device mobili ed in materia di “bring your own device” (48%), di gestione del ciclo di vita del dato (47%), di criptazione dei dati (36%) e di gestione degli ambiti social e web (31%).
Nel 39% delle imprese non esiste un piano strutturato di formazione e comunicazione delle policy, negli altri casi la comunicazione delle policy viene inserita nel piano di formazione annuale obbligatorio (17%) o si prevede la formazione con specifici corsi interni (39%) o con l’ausilio di esperti esterni (5%).
I freni alla strategia di information security
L’elemento di maggior freno alla creazione di una strategia di information security evidenziato dalle aziende è di gran lunga la difficoltà di identificare costi e benefici derivanti dall’utilizzo di determinati approcci e tecnologie (60%), seguito dallo scarso committment del top management (38%) e dalla difficoltà a definire i confini d’azione (32%).
“Le barriere che impediscono oggi di creare una strategia di information security nelle imprese italiane sono molto eterogenee, a testimonianza di situazioni molto differenti, ma si possono identificare alcune linee comuni di intervento – spiega Mariano Corso, Responsabile scientifico dell’Osservatorio Information Security & Privacy –. Da una parte è necessaria un’evoluzione dell’organizzazione per favorire la creazione di nuovi ruoli, meccanismi di coordinamento e competenze. Dall’altra si chiede un ripensamento delle metodologie di indagine dei confini della sicurezza, affiancando a logiche tradizionali nuove modalità di analisi per processi, per rispondere meglio ai trend emergenti del digitale che cambiano il normale perimetro di difesa. Infine, occorre sviluppare sensibilità alla gestione del rischio, pianificando interventi ed investimenti sulla base di scenari di priorità”.
