INTERNET. Sicurezza informatica: problema non solo tecnologico

Ieri a Milano, si è svolto presso Infosecurity Storage Expo e Trackability 2008 il Convegno "ICT Security: quale Governance?", a cura dell’Osservatorio Infomation Security Management, creato dalla School of Management del Politecnico di Milano e dal CEFRIEL, in collaborazione con Reed Exhibitions Italia. Durante il Convegno sono stati presentati i risultati della prima Ricerca dell’Osservatorio, basata su un’analisi empirica consistente in oltre 30 casi di studio di grandi imprese operanti in diversi settori, cui ha fatto seguito una survey inviata a un campione di oltre 300 Chief Information Officer (CIO).

Le informazioni rappresentano sicuramente una delle risorse vitali di qualsiasi azienda: la distruzione, la compromissione o l’accesso non autorizzato al patrimonio informativo aziendale può causare danni elevatissimi a un business, fino a comprometterne la sopravvivenza stessa, come dimostrano alcuni degli eventi e degli scandali più eclatanti degli ultimi anni. In particolare si è assistito a: frodi finanziarie, spionaggio industriale (incursioni nei sistemi informativi, mirate al furto di informazioni "mission critical", quali piani strategici, brevetti, ecc.), utilizzo per fini illeciti di informazioni personali custodite negli archivi informatici, delle aziende, falsificazioni dei dati di bilancio, intercettazioni non autorizzate, estorsioni.

"Nonostante il tema dell’Information Security sia da anni al centro di un ampio dibattito a livello nazionale e internazionale – ha commentato Paolo Maccarrone, Responsabile Scientifico dell’Osservatorio Information Security Management -, ad esso spesso non viene ancora attribuita la giusta rilevanza all’interno delle imprese, anche perché in molti casi viene vissuto come un problema esclusivamente tecnico, sottovalutando i risvolti strategici e la pervasività dell’ICT". Per questo motivo la prima ricerca dell’Osservatorio si è focalizzata in particolare sull’ICT Security, intesa come l’insieme delle misure atte a garantire la sicurezza delle informazioni immagazzinate e veicolate utilizzando le tecnologie ICT, ma anche a garantire la disponibilità e il regolare funzionamento dei sistemi e delle applicazioni.

Analizzando il processo che porta all’elaborazione del piano strategico dell’ICT Security, con riferimento in particolare al grado di formalizzazione del processo, i risultati hanno evidenziato come solo in alcune delle realtà analizzate esista un processo ben strutturato e integrato con il più generale processo di pianificazione e controllo dell’impresa, processo che prevede tipicamente il coinvolgimento sistematico di appositi comitati di sicurezza. Solo una minoranza delle imprese analizzate ha dichiarato infatti di elaborare un piano con orizzonte pluriennale; più frequentemente ci si limita alla formulazione di un piano annuale, eccezion fatta per le "grandi" decisioni di investimento, che vengono normalmente gestite ricorrendo a task force o comitati ad hoc. Sempre con riferimento alle metodologie, va segnalato che il ricorso a criteri di valutazione di tipo economico-finanziario per la valutazione ex ante dei progetti di investimento non è molto frequente. Ancor più arretrato risulta lo scenario per quanto riguarda la diffusione degli strumenti di controllo strategico. È chiaro che l’assenza di una misurazione sistematica delle performance rappresenta un elemento di debolezza dei sistemi di gestione dell’ICT Security, anche alla luce degli standard di riferimento.

L’analisi macro-organizzativa ha messo in luce l’esistenza di quattro configurazioni organizzative "tipo", caratterizzate da complessità crescente: il modello All in One, caratterizzato dalla concentrazione di tutte le attività legate all’ICT Security in un’unica organizzativa, tipicamente l’unità operations della funzione ICT; il modello ICT Centric, caratterizzato dall’introduzione di un’unità specifica di ICT Security, sempre all’interno dell’ICT, che tipicamente si occupa delle attività di governo e di progettazione delle soluzioni, mentre le attività di sviluppo delle applicazioni e di gestione delle operations sono sempre responsabilità delle rispettive aree tecnologiche; il modello Segregation, in cui le attività di governo, e spesso anche di identificazione delle soluzioni, sono assegnate alla funzione Corporate Security, mentre all’ICT rimangono le attività di sviluppo e di esercizio. Il quarto modello, denominato Multiplayer, presenta invece la massima articolazione organizzativa. Va sottolineato che questi modelli sono tipici delle imprese di grandi dimensioni: ne è la riprova il quadro che è emerso dalla survey (somministrata a un campione di imprese più ampio e di dimensione media più contenuta), dal quale si evince che il 16% delle imprese non prevede al suo interno una struttura con responsabilità specifica sulle attività legate all’ICT Security.

 

Comments are closed.