Sicurezza It, alla ricerca dello stato dell’arte

Sicurezza
0 0 Non ci sono commenti

Qual è lo stato della sicurezza in Italia? Come e con quali mezzi le aziende
affrontano i problemi della sicurezza? Incontro con Fabio Merello, partner di
Ernst&Young

Un mercato della sicurezza It di tipo reattivo, che investe molto in strumenti software e in tecnologie: questa la sintesi della situazione italiana come la propone Fabio Merello, partner di Ernst &Young e responsabile a livello nazionale del dipartimento Technology and Security Risk Services. Spiega Merello, che ha curato per l’Italia la nona edizione annuale della Global Information Security Survey della società: ? La tecnologia offre un approccio necessario, ma troppo semplificato alla sicurezza. La frode è un qualcosa che coinvolge l’intero apparato organizzativo dell’impresa. Spesso poi le grandi frodi sono economiche e su base ricattatoria, così non se ne viene a sapere nulla. Non conta tanto l’impegno tecnologico, ma il processo di gestione che deve essere di ampio respiro?. La consapevolezza delle minacce deve arrivare agli alti livelli del management: solo così è possibile predisporre le protezioni per eventi critici.

L’Italia , nell’esperienza di Merello, è ancora lontana da questo livello di consapevolezza, anche se l’obbligo di adempiere alle prescrizioni della compliance e sulla privacy – unito, ma solo in alcune decine di casi, alla necessità delle aziende di adeguarsi al Sarbanes Oaxley Act – ha dato una spinta in questo senso. Lo studio (Achieving success in a globalized world ? Is your way secure) riporta il punto di vista di circa 1200 manager della sicurezza informatica operanti in 48 paesi, così come riporta un significativo benchmark su come questo tema sia affrontato in più di 350 organizzazioni in 38 paesi diversi.
Le valutazioni degli esperti di Ernst & Yung sono supportate da uno strumento di benchmarking basato su standard (Iso 17799), creato per aiutare le organizzazioni a comprendere in modo chiaro la loro situazione sulla sicurezza It e a stabilire un programma di cose da fare per migliorarla con continuità.

Mentre la tutela della privacy e dei dati personali si confermano come temi di primaria importanza, la conformità alle norme ed ai regolamenti di settore si dimostra, per il secondo anno consecutivo, il principale driver in termini di impatto attuale e fino a 12 mesi sulle attività di Information Security. Circa l’80% dei partecipanti allo studio è concorde nel sostenere che gli impegni e le attività indirizzate al raggiungimento della conformità a norme e regolamenti hanno significativamente contribuito al miglioramento della Information Security aziendale. Il prossimo passo importante per le aziende sarà quello di indirizzare la razionalizzazione ed ottimizzazione degli interventi in materia di Information Security al fine di sostenere ed integrare i controlli e i processi realizzati nell’ambito della risposta ad esigenze di conformità normativa.

Le aziende hanno mostrato un’accresciuta sensibilità in merito alle tematiche e alle azioni richieste per gestire i rischi connessi nell’ambito delle relazioni con i terzi, specialmente in merito all’utilizzo dei dati aziendali da parte di fornitori di servizi in outsourcing. Più di un terzo dei partecipanti allo studio ha dichiarato di disporre di procedure formalizzate per la gestione dei rischi connessi ai fornitori. Anche per l’Italia questa percentuale si attesta intorno al 33%. Quanto ai fornitori, gli estensori della ricerca si aspettano inoltre che nei prossimi anni ci sia una crescente attenzione nei riguardi della conformità a standard in ambito Information Security.
Tuttavia lo studio evidenzia che attualmente la maggior parte delle aziende affronta i rischi connessi ai fornitori utilizzando politiche e procedure non formalizzate. Solo il 14% delle aziende, il 7% in Italia, richiede ai propri fornitori una revisione indipendente delle attività di privacy e Information Security basate sulle best practice e sugli standard di riferimento. Commenta Merello:?Sulla tecnologia gli investimenti vengono fatti. Le aziende hanno le dotazioni che servono, ma poi è la gestione della sicurezza quella che manca. Sulla carta è difficile trovare aziende non coperte?.

Un altro punto debole della gestione della sicurezza è quello dei rapporti dell’azienda con i fornitori esterni, in particolari gli outsourcer, che devono garantire a loro volta livelli di servizio relativi anche alla sicurezza. L’integrazione delle procedure di due parti in gioco, la certificazione Iso e l’auditing relativo sono ancora punti di debolezza.
Forse su questo specifico aspetto si nota una maggiore sensibilità del settore pubblico. I bandi di gara cominciano a richiedere la certificazione Iso 27001 che certifica la gestione della sicurezza It e alcuni enti pubblici stanno iniziando a certificare i propri sistemi. Nella ricerca che Ernst & Young ha realizzato si parla molto di compliance proattiva. Che significa? Spiega Merello. ? In questo momento le aziende reagiscono alle richieste della normativa. In realtà quello che serve è un sistema di controllo e reporting in modo che i modelli di compliance possano essere adeguati senza alti oneri. Attualmente però mi sento di dire che solo le banche e gli istituti finanziari sono in linea con questo modo di intendere la sicurezza anche perché controllati da una precisa normativa della Banca d’Italia. Se la normativa cambia o si evolve un’azienda certificata Iso non deve ricomunicare da zero?.

Se dovesse dare un voto all’Italia sul tema della sicurezza It? ? L’Italia è in linea con gli altri paesi per quanto riguarda la tecnologia, ma è nell’area della insufficienza sulla parte dei processi. Il meglio lo danno le nazioni in cui le organizzazioni hanno adottato approcci più standardizzati come Usa, Giappone e , in Europa, Olanda e Germania?.
In generale gli uomini dell’It mostrano consapevolezza sui temi della sicurezza , ma non sempre sono messi in grado di guidarla. Inoltre vogliono partner esterni che li aiutino a capire e non desiderino solo vendere prodotti. Gli utenti invece soffrono molto i momenti formativi , anche se va riconosciuto che spesso le cose della sicurezza vengono proposte in un modo sbagliato.

Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore