Information Security Management in Italia. What’s Next - 2015

Un anno fa presentavamo il nostro INSIGHT sull’Information Security Management con alcune notazioni riguardo l’adozione di pratiche di governance integrate e utilizzo degli analytics per una maggiore gestione del rischio in azienda. Vogliamo tornare sull’argomento per scoprire che cosa le aziende Top e Medio Grandi stanno facendo al riguardo, in termini di misure adottate e rischi percepiti, visto come la sicurezza delle informazioni si stia trasformando da “semplice” issue IT a parte integrante dei piani strategici pluriennali di numerose aziende dal profilo internazionale.

Nell’edizione di quest’anno abbiamo deciso di concentrare la nostra attenzione anche sulle differenze riguardanti motivazioni, minacce percepite e misure adottate in ambito Information Security, dividendo il nostro panel tra imprese Piccole-Medie e Top e Medio-Grandi italiane, in base al fatturato dichiarato.

Limitarsi a proteggere i propri confini aziendali non è sufficiente, anzi è fuorviante, dal momento che nessuna impresa può essere considerata un’isola a sé stante in un mondo perennemente interconnesso. Dai Big Data agli analytics, dal cloud computing alle piattaforma di CRM, ai sistemi ERP alle grandi potenzialità dell’Internet of Things, la quantità e il valore di business delle informazioni che le organizzazioni si trovano ormai a dover gestire e proteggere è enorme, in continua crescita e frequentemente “cross-dipartimentale”. Tutte le organizzazioni che beneficiano di sistemi IaaS devono dipendere dalla sicurezza di reti e sistemi al di là del loro diretto controllo. Entro la fine di questo decennio, il numero di dispositivi connessi a Internet viene stimato nella ragguardevole cifra di 50 miliardi, generando petabyte di dati, secondo stime del britannico Business Insider. L’attenzione che andrebbe posta verso il tema dell’Information Security riguarda inoltre anche le organizzazioni che utilizzano i computer per monitorare, muovere e controllare macchinari, attrezzature o linee di produzione. Un attacco mirato ad un sistema “cyberfisico” può infatti comportare un serie di implicazioni in ambito Operational Health, Safety and Environment per un numero sempre crescente di imprese.

Obiettivo della nostra analisi è comprendere lo stato dell’arte dell’Information Security Management nelle imprese Top e Medio Grandi in Italia con riferimento ai trend, alle priorità degli investimenti e all’evoluzione organizzativa. Tra i diversi aspetti che sono stati oggetto di analisi vi è l’importanza attribuita al tema dell’Information Security all’interno delle imprese dal management, i fattori abilitanti, gli ostacoli agli investimenti, le scelte effettuate in termini di Organizzazione e Governance della Security. Particolare importanza è data alle priorità di investimento espresse dalle aziende per i diversi ambiti dell’Information Security e le loro previsioni, con riferimento anche a singole aree di attività come la Cloud Security, la gestione delle frodi, le misure preventive, di rilevazione, di protezione e di risposta agli attacchi subiti.

Abbiamo raccolto in questo capitolo i principali risultati del lavoro svolto sul tema, grazie al contributo di 160 CIO, CSO e CISO in rappresentanza delle principali imprese italiane. I lavori del panel si sono svolti durante il mese di febbraio 2015 e in appendice al capitolo forniamo i dettagli sulla composizione del panel.

Il ruolo dei responsabili della sicurezza informatica viene percepito in alcune organizzazioni come periferico al business dell’azienda. Come abbiamo potuto constatare dalle risposte del nostro panel, non sono ancora molti gli head of security che hanno un rapporto diretto con la direzione generale.

Le loro responsabilità potrebbero velocemente crescere d’importanza nell’immediato futuro, mentre si prende coscienza che, grazie alla Trasformazione Digitale, la protezione degli asset fondamentali coinvolge non solo le architetture dei sistemi informativi, ma anche diverse altre aree di business fondamentali.

In altre organizzazioni, invece, “fare sicurezza” in ambito informatico equivale in larga parte ad essere compliant a normative e regolamenti vigenti, come dimostrato dalle risposte del panel: l’Information Security Management potrà anche essere considerato rilevante come impatto sul business aziendale, ma la principale ragione per cui le aziende vi investono è proprio, in larga maggioranza, la compliance normativa, ancora prima della tutela fisica e logica dell’informazione stessa. Intanto, negli Stati Uniti, i CEO di Target e Sony hanno presentato le loro dimissioni dopo i clamorosi data breach che hanno caratterizzato le due aziende nel 2014.

L’importanza nel mantenere Internet ed il mondo digitale un ambiente dove comunicare e fare mercato in maniera sicura è troppo alta per non incoraggiare istituzioni, imprenditori, executive, sviluppatori software e team di sicurezza informatica a collaborare per contribuire a ridurre il rischio informatico.