Ibm ha pubblicato i risultati dell’edizione 2013 dell’Ibm Chief Information Security Officer Assessment, che ha valutato approfonditamente tre aree che interessano i responsabili della security, tra cui business practice, maturità tecnologica e metriche per la sicurezza. Lo studio si basa sul know-how dei responsabili della sicurezza di Ibm, esperti nel delineare una serie di prassi che aiutino a definire il ruolo del security officer.
Lo studio di quest’anno ha rivelato risultati, prassi d’avanguardia e una serie di limiti con cui si confrontano anche i leader della sicurezza più maturi. Dall’analisi in profondità di tre aree – business practices, maturità tecnologica e metriche di sicurezza – emerge un percorso che funge da guida per i Ciso, sia nuovi che esperti.
Business practice: affichè il loro ruolo abbia un autentico impatto, gli intervistati sottolineano la necessità di una visione, di una strategia e di politiche di business solide, di una gestione del rischio completa e di relazioni di business efficaci. Anche comprendere i timori dei vertici aziendali è essenziale. I responsabili della sicurezza più maturi incontrano regolarmente il consiglio di direzione e i vertici aziendali, migliorando così le relazioni. In questi incontri, i principali argomenti di discussione comprendono l’identificazione e la valutazione dei rischi (59%), la soluzione dei problemi e delle richieste di budget (49%) e l’implementazione di nuove tecnologie (44%). La sfida in questo caso è riuscire a gestire i vari timori aziendali per la sicurezza.
Maturità tecnologica: la sicurezza del mobile computing è al primo posto fra le tecnologie di sicurezza “implementate più di recente”, adottata da un quarto dei responsabili della sicurezza negli ultimi 12 mesi. E sebbene la privacy e la sicurezza in un ambiente cloud siano sempre motivo di preoccupazione, i tre quarti (76%) hanno realizzato servizi per la sicurezza del cloud: tra i più diffusi, il monitoraggio e l’audit dei dati, unitamente a gestione delle identità federate e degli accessi (entrambi al 39 percento).
Anche se il cloud e il mobile computing continuano a essere oggetto di grande attenzione in molte organizzazioni, le tecnologie fondamentali su cui si concentrano i Ciso sono gestione delle identità e degli accessi (51%), prevenzione delle intrusioni e scansione delle vulnerabilità della rete (39%) e sicurezza del database (32%).
La principale sfida del mobile computing rispetto alla sicurezza è andare oltre le fasi iniziali e pensare meno alla tecnologia e più alla strategia e alle politiche. Meno del 40% delle organizzazioni ha adottato politiche di risposta specifiche per i dispositivi personali o una strategia aziendale per il Byod, ossia la possibilità per i dipendenti di utilizzare i propri dispositivi sul lavoro. Questa lacuna viene tuttavia riconosciuta, infatti la definizione di una strategia aziendale per il Byod (39%) e una politica di risposta agli incidenti per i dispositivi personali (27%) sono le prime due aree di cui si prevede lo sviluppo per il prossimo anno.
Metriche per la sicurezza: i responsabili della sicurezza usano le metriche soprattutto per indirizzare il budget e per argomentare nuovi investimenti in tecnologia. In alcuni casi, usano le misurazioni come aiuto per sviluppare priorità strategiche per l’organizzazione della sicurezza. In generale, però, le metriche tecniche e gestionali sono tuttora concentrate sulle problematiche operative. Ad esempio, oltre il 90 percento degli intervistati tiene traccia del numero di incidenti di sicurezza, della perdita o furto di record, dati o dispositivi e dello stato delle verifiche e della conformità: aspetti fondamentali che tutti i responsabili della security dovrebbero seguire. Un numero molto minore di intervistati (12%) inserisce metriche di business e sicurezza nel processo di rischio aziendale, anche se i Ciso affermano che l’impatto della sicurezza sul rischio aziendale nel suo complesso è il loro più importante fattore di successo.
“È evidente, rispetto a quanto emerge da questo studio, che i responsabili della sicurezza devono concentrarsi sulla ricerca di un delicato equilibrio tra sviluppare una strategia di gestione del rischio e della sicurezza che sia olistico e adottare funzionalità avanzate e strategiche, quali mobilità e Byod”, spiega David Jarvis, autore della relazione e manager presso l’Ibm Center for Applied Insights.