Gartner: la spesa in sicurezza IT non è un indicatore di maturità

Security managementSicurezza

La percentuale del budget dedicata alla sicurezza IT non basta a capire se un’azienda è ben protetta o meno, i parametri da considerare sono anche altri

Spendere di più non vuol dire sempre spendere meglio: è un ragionamento di banale buonsenso che, spiegano gli analisti di Gartner, può essere applicato anche agli investimenti delle aziende nella sicurezza IT. Mediamente, secondo la società di analisi, le imprese investono il 5,6 percento del loro budget IT in sicurezza e gestione del rischio: questa media deriva da una “forchetta” molto ampia che va dal 13 a solamente l’uno percento e inoltre non è un indicatore sufficiente. Può anche portare a valutazioni sbagliate rispetto al successo di un programma di protezione.

Rob McMillan, research director di Gartner, sottolinea infatti che capire se quanto si spende in sicurezza IT è ai livelli delle aziende dello stesso proprio settore (o dimensione, o area geografica) rappresenta un confronto generico che non dice molto: “Si potrebbe spendere quanto i propri pari ma farlo per le cose sbagliate ed essere estremamente vulnerabili. Oppure si potrebbe spendere nel modo giusto ma con una propensione al rischio differente dagli altri”.

Secondo Gartner, nei prossimi anni la maggior parte delle aziende continuerà a usare in modo sbagliato le medie di spesa come parametro per valutare la propria situazione in quanto a sicurezza. Ma questa metrica non dà informazioni valide se si astrae da altre informazioni di contesto come i requisiti di business, la tolleranza al rischio e i livelli di soddisfazione dei clienti. Dà solo una indicazione sommaria dei costi della sicurezza.

I CISO secondo i colleghi manager: tanti obblighi e pochi riconoscimenti
I CISO secondo i colleghi manager: tanti obblighi e pochi riconoscimenti

Molte aziende, sostengono gli analisti, oltretutto non conoscono affatto il loro vero budget dedicato alla sicurezza IT. La stima della spesa in hardware, software e servizi dedicati in modo mirato all’IT security è riduttiva perché molte funzioni che sono legate alla sicurezza fanno parte di investimenti che non sono collegati direttamente alla parte sicurezza e sono portate avanti da personale che non fa capo allo staff della sicurezza. Per questo un CISO spesso non ha una visione completa della spesa in sicurezza IT nella sua impresa.

Secondo Gartner la soglia giusta per la quota del budget IT dedicata alla sicurezza è del 4-7 percento, comprendendo in questa parte gli investimenti specifici per l’IT security e non la spesa “allargata” e nascosta in altri dipartimenti. Questo è quindi il budget sotto la diretta amministrazione del CISO, il quale può limitarsi alla parte “bassa” del range di investimenti se la sua azienda è tecnologicamente matura ma deve spostarsi verso la parte alta nelle aziende con un tasso di rischio maggiore.

Read also :
Autore: Silicon
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore