NextValue presenta il suo Information Security Management Report per l’anno 2012. I tratti più originali della ricerca balzano subito all’occhio: è uno dei pochi report sulla sicurezza in cui nomi e danni del malware che gira sulla Rete non sono protagonisti e resiste alla tentazione di non cambiare nome per diventare esclusivamente un “cloud security report“. Sono questi anche i due aspetti che Alfredo Gatti fondatore di NextValue e managing director di CIOnet sottolinea, presentando lo spirito e i numeri della ricerca.

La sicurezza in azienda non è più un problema del ‘solo’ comparto IT, ma dell’intera azienda e richiede una visione strategica complessiva dei processi, un approccio culturale, la specializzazione degli attori deputati ai compiti di IS (Information Security) e budget adeguati. Proprio per questa voce non mancano le buone notizie. La sensibilità oramai diffusa per la tematica fa allentare i cordoni della borsa tanto da rappresentare una voce a saldo positivo, considerati i 1.400 milioni di euro spesi in IS per il 2011, in crescita decisa rispetto al 2010.

E’ il primo importante dato numerico di rilievo che emerge dal Report. Il panel è costituito da 214 aziende distribuite in ogni segmento di mercato (ne sono state contattate 400!), con una prevalenza nel comparto Industria (il 21%), ma sostanzialmente molto trasversale (Commercio e Distribuzione 12%, Banche 8%, Settore Pubblico 6% e via a scalare fino a 1% della Difesa). L’80% delle aziende intervistate ha un fatturato tra i 2 e i dieci milioni di euro (le rimanenti superiore e ben il 13% oltre i 20 milioni di Euro), hanno risposto CIO (per oltre il 30% del campione), CiSO, CSO e Security Manager.

Il secondo importante rilievo numerico del Report è relativo alla percezione di impatto sul business delle problematiche di Information Security. Per oltre il 64% degli intervistati si tratta di un fattore Rilevante o Molto critico. Una percentuale di rispetto  che offre lo spunto per una chiave di lettura.

La suggerisce Gatti: ” Si inizia a comprendere che l’Information Security Management è strategico per l’operatività nel business, ma anche per la tutela del brand; si fa strada il concetto che la Governance è sempre più integrata con la gestione dei rischi e della Compliance; si iniziano a delineare figure specifiche che affiancano il CIO e rispondono direttamente al CEO”

Questa interpretazione è confortata dal fatto che proprio la Compliance alle normative, la prevenzione dei rischi e l’utilizzo prepotente dei nuovi device in mobilità spiccano nel dettaglio della Matrice di Attrattività degli investimenti. E i dati indicano che nel 23% delle aziende è già presente la figura del CSO (Chief Security Officer), quella del CiSO (Chief Information Security Officer) nel 21%, con una sensibilità a questa specializzazione più sentita nei segmenti della Finanza e del settore pubblico; intanto si affacciano anche altre figure come quella del Chief Risk Officer (Cro) e del Chief Compliance Officer (Cco). 

Il terzo indizio di un cambiamento importante, nella lettura del problema da parte delle aziende e quindi nella variazione di strategia di approccio, arriva alla voce investimenti che cresceranno dal 2011 al 2012. L‘incidenza della voce IS sul Budget IT del campione è nel 37% dei casi tra il 2 e il 5%, ma per oltre il 35% del campione va dal 6% a più del 15%: sono numeri che confortano e che fanno segnare di media un paio di punti percentuali in più anno su anno, mentre si sa che la spesa IT nel complesso è invece in recessione.

Il comparto sicurezza vive bene quindi, ma a determinate condizioni: come servizio deve essere in grado di generare fiducia, non tanto nell’idea che non si verrà attaccati, quanto piuttosto nel fatto che non si perderà il controllo di quanto avviene. Cresce quindi l’interesse e la richiesta di piattaforme GRC, dashboard, e pannelli di controllo; l’attenzione per il comparto mobile è già alta con i sistemi di MDM – Mobile Device Management.  Se ne possono trarre informazioni per generare altra cultura di sicurezza. L’attacco dall’esterno infatti è solo uno dei segnali, uno dei fattori di rischio. Nel futuro l’azienda farà sempre più i conti con articolate strategie di governance e compliance che necessitano della condivisione dell’informazione, della capacità di leggere i fenomeni, di interpretarli, di scegliere i provider e stabilire con essi SLA e accordi modellabili nel tempo, sulla scorta dell’analisi di quanto si è esperito sul campo, tanto più quando i servizi sono cloud.

Gatti chiude con sole quattro parole nell’aria sin dalle prime slide di presentazione del report: “La fiducia va progettata”.

Per saperne di più leggi anche: Sortino (Emc), la sicurezza nell’era cloud non si fa con le barriere