EnterpriseSicurezza

Governance IT e Risk Management: chi tira e chi frena

Silicon è il sito di tecnologia dedicato alle strategie delle aziende IT che cavalcano i nuovi trend di mercato, dal cloud computing alla virtualizzazione, dal mobile al byod. Analisi, approfondimenti, prove di app e prodotti, oltre alle notizie quotidiane, fanno di Silicon l’appuntamento giornaliero per i manager che vogliono capire come la tecnologia possa aiutarli nel fare business. Su queste tematiche Silicon realizza interviste agli attori del mercato e reportage dai principali eventi, sia in Italia sia all’estero.

Sicurezza IT non è più solo Cyber Security. La sicurezza non è più un problema solo dell’IT aziendale e nuovi temi e discipline entrano e si concentrano sul tema del Risk Management

Il Risk Management e l’assicurazione della compliance all’interno delle attività più generali della governance del’IT aziendale sono il nuovo tavolo su cui costruire un‘intesa tra ruoli IT e ruoli di gestione del business all’interno della imprese e delle grandi organizzazioni. E’ questo il messaggio che Fabio Rizzotto, Research Director IT all’interno di Idc Italia e Andrea Rigoni, Senior Associate di Booz & Company, hanno lanciato all’ audience del secondo giorno della Security Conference 2010 di Idc.

Il panorama in cui si muove un’impresa prevede una duplice serie di fatti da tempo nota e da tempo segnalata da Idc stessa. Il 70% delle informazioni generate da un singolo individuo nel loro ciclo di vita passano poi in gestione e sotto la responsabilità delle organizzazioni. Inoltre le relazioni tra imprese ormai comportano a loro volta relazioni tra sistemi di sicurezza diversi – basti pensare alle attività di eProcurement. Questo apre una nuova serie di problemi , prima di tutto di compliance , cioè di aderenza alle normative locali e internazionali. A questo punto la sicurezza “ non è più un problema solo dell’IT aziendale e nuovi temi e discipline entrano e si concentrano sul tema della sicurezza”. E i rischi vanno affrontati con metodologie che vanno al di là dei puri investimenti in tecnologie di sicurezza, ma con policy e azioni di impresa che rientrano nel concetto più ampio della gestione del rischio di impresa .

A questo punto la cronaca sta fornendo ampi spunti di riflessione, dall’affaire Fastweb- Telecom Italia   ai problemi aperti di Google con il mercato cinese   e persino italiano.   Con un problema in più all’interno delle organizzazioni , quello dei rapporti al “livello C”  , tra Ceo e consigli di amministrazione e Cio e altre responsabilità di tipo tecnico per la gestione della sicurezza IT   . E’ in gioco la conservazione degli asset aziendali con un livello di rischio accettabile e una maggiore trasparenza.
L’attenzione e gli investimenti in tema di sicurezza sono quasi uno spartiacque che divide le aziende innovative da quelle più conservatrici. Secondo l’esperienza di Rizzotto, le imprese innovative investono di più in sicurezza, mntre quelle più conservative tendono a fare acquisti sulla base della paura. Le aziende che hanno un maggiore livello di conoscenza nelle tecnologie e nei processi di sicurezza investono di più. Ma in generale, “ C’è più attenzione sulle soluzioni di sicurezza che sulla prevenzione e il controllo, che sono le attività più complesse “.
Dati i risvolti anche di tipo organizzativo , qual è dunque la ricetta di Rizzotto ?
“ Bisogna bilanciare sicurezza e protezione degli asset aziendali con la soddisfazione delle persone . Il rapporto tra gestione dell’IT e utenti finali è delicato”.

Conferma che le minacce alla sicurezza IT sono passate da tema per specialisti a tema politico Andrea Rigoni di Booz & Company. Nel frattempo l’Information Security è centrata nelle agende dei top manager aziendali. Per questi le strategie di Risk Management devono essere guidate da quattro priorità chiave: Revenues, Reputation, Regulation e Resilience. Confermata l’assenza degli specialisti della sicurezza IT dal board aziendale , per Rigoni ci sono altri fattori che rendono difficile un approccio aziendale al Risk Management nella sua globalità: la complessità dei servizi digitali e il web 2.0; la mancanza di personale esperto; lo spostamento verso l’outsourcing dei servizi di sicurezza e la crescita dei servizi forniti in modalità cloud computing. Secondo una ricerca di Frost & Sullivan l’Italia è in una posizione particolarmente infelice in Europe quanto a mancanza di risorse umane . Esistono stime di una domanda teorica di 5mila-6mila esperti all’anno. A fronte di questo all’ interno delle aziende il grado di consapevolezza degli utenti aziendali sui sistemi di sicurezza è basso.
In questo contesto la governance deve fare da collante: ci sono scelte che non possono essere demandate a un dipartimento IT che non ha competenze sul business: “ Cifratura, DLP, controllo dei dati , access management sono temi che impattano in maniera forte “ su budget di sicurezza che in Italia sono inferiori alle media internazionali. La conclusione ? Occorre una guida all’IT per le scelte tecnologiche secondo la visione strategica dell’azienda: “ Il rischio lo vede l’owner dell’informazione in azienda. L’IT è solo un custode”.