La regolamentazione e la compliance interne rimangono i principali driver della spesa per la sicurezza delle organizzazioni. Ma a questi due aspetti ne va assolutamente aggiunto un altro: il cambiamento.
L'annuale Global State of Information Security Survey di PricewaterhouseCoopers (PwC) pone quasi allo stesso livello della compliance l'aggiornamento tecnologico e di mercato, aggiornamento che è figlio di una sovrabbondanza di fusioni e acquisizioni e di interesi per le tecnologie del Web 2.0.
"Se si vuole che la sicurezza aggiunga valore al business, deve essere coinvolta sin dall'inizio in ogni tipo di cambiamento", ha affermato Gerard Verweij, technology advisory service partner di PricewaterhouseCoopers.
Dall'indagine, che ha visto coinvolte quasi 7.100 persone a livello mondiale, compresi i cosiddetti C-Level come direttori finanziari e amministratori delegati, emerge che la compliance rimane la più importante tendenza in corso. Ma si nota anche la mancanza di allineamento tra responsabili della sicurezza e top management in relazione alla spesa per la sicurezza e alla compliance interna.
Per esempio, i CEO e i chief financial officer (CFO) credono che le politiche di sicurezza e le relative spese siano completamente allineate con gli obiettivi aziendali, molto più di quanto non lo pensino i chief information security officer (CISO) e i chief information officer (CIO). Dal canto loro, CEO, CFO e persino CIO ritengono che la business continuity e il disaster recovery siano i principali aspetti del business che guidano la spesa per la sicurezza, mentre i CISO indicano la conformità alle normative.
Singolare è poi il fatto che il 73% degli intervistati ritenga che gli utenti rispettino in modo adeguato le politiche interne, ma meno della metà ha condotto test di compliance o di controllo della conformità con la policy per verificare quanto afferma.
Nel complesso, il sondaggio dimostra che la sicurezza sta diventando più una funzione operativa che non strategica, ma è anche diventata prioritaria per i CISO al fine di dimostrare il loro valore, soprattutto in una fase di recessione come quella attuale.
"È necessario disporre di una strategia di rischio ed effettuare un risk assessment per determinare dove spendere il proprio denaro - ha sostenuto James Mignone, uno degli intervistati e CISO di RBS Americas, l'ex Citizens Financial Group -. Non è sufficiente effettuare investimenti in tecnologia, bisogna anche puntare sulle persone e sui processi. Abbiamo un lungo cammino da percorrere come settore prima che i CEO capiscano questo fatto e anche perché lo staff di sicurezza abbia bisogno di crescere".
Mignone auspica l'individuazione di parametri che consentano un'adeguata gestione al fine di capire meglio i rischi e come può la sicurezza li possa attenuare.
"Abbiamo la cattiva reputazione di essere solo degli utili strumenti, ma quando i CEO e il management pongono delle domande, per rispondere non bastano gli strumenti - ha detto Mignone -. Abbiamo bisogno di tradurre concretamente il modo in cui mitighiamo il rischio partendo dal risk assessment e di tradurlo attraverso precisi parametri in modo che il management sia in grado di capire ciò che stiamo facendo. C'è bisogno di un team IT focalizzato sul rischio piuttosto che di un team composto solo di appassionati della sicurezza IT. Intendiamoci, gli esperti sono essenziali, ma devono essere parte di un team coordinato che abbia ben chiaro l'interno panorama aziendale e non solo la tecnologia che opera in background".
Un'altra tendenza degna di nota che emerge dal sondaggio è la crescita a doppia cifra tecnologie come la crittografia e prodotti per la sicurezza Web. Spinta dalle regolamentazioni e dalle iniziative di protezione dei dati, è sempre più diffusa la crittografia per i portatili, i database, i nastri e i supporti rimovibili. È anche in crescita il numero di implementazioni di filtri di contenuti, siti certificati e servizi di sicurezza Web.
Mentre la spesa in tecnologia e progetti aumenta, gli investimenti nelle persone e processi sono in leggera discesa. Il numero di organizzazioni che svolgono controlli di background è in calo del 2% rispetto a un anno fa, mentre le aziende che effettuano il monitoraggio dell'uso degli asset, dei livelli di autenticazione e della gestione centralizzata delle informazioni è cresciuto dal 2% al 7%.
