Con le nuove opportunità offerte dalle tecnologie emergenti, come l’adozione del cloud e del mobile computing, cresce il rischio per i dati. Di fronte alle minacce sofisticate perpetrate dagli hacker, il ruolo del responsabile per la sicurezza (Chief Information Security Officer, CISO) all’interno delle aziende sta diventando sempre più strategico. Oggi il CISO deve essere sia un esperto di tecnologia che un business leader, con la capacità di affrontare i timori, consigliare nel modo più opportuno, così come di gestire tecnologie complesse.
Per proteggere meglio l’azienda, è essenziale adottare una gestione del rischio completa e relazioni di business efficaci. Secondo uno studio di IBM, i responsabili della sicurezza più maturi, infatti, incontrano regolarmente il consiglio di direzione e i vertici aziendali, migliorando così le relazioni. In questi incontri, i principali argomenti di discussione comprendono l’identificazione e la valutazione dei rischi (59%), la soluzione dei problemi e delle richieste di budget (49%) e l’implementazione di nuove tecnologie (44%).
Dalle parole ai fatti. Oggi l’attenzione dei CISO si concentra soprattutto sulla sicurezza del mobile computing. Quest’area è al primo posto fra le tecnologie di sicurezza “implementate più di recente”, adottata da un quarto dei responsabili della sicurezza negli ultimi 12 mesi. E sebbene la privacy e la sicurezza in un ambiente cloud siano sempre motivo di preoccupazione, i tre quarti (76%) degli intervistati hanno realizzato servizi per la sicurezza del cloud: tra i più diffusi, il monitoraggio e l’audit dei dati, unitamente a gestione delle identità federate e degli accessi (entrambi al 39%).
Anche se il cloud e il mobile computing continuano a essere oggetto di grande attenzione in molte aziende, le tecnologie fondamentali su cui si concentrano i CISO riguardano la gestione delle identità e degli accessi (51%), la prevenzione delle intrusioni e scansione delle vulnerabilità della rete (39%) e la sicurezza del database (32%). Manca ancora però un’ottica più strategica della sicurezza: secondo lo studio di IBM, meno del 40% delle aziende ha adottato politiche di risposta specifiche per i dispositivi personali o una strategia aziendale per il BYOD (bring-your-own-device), ossia la possibilità per i dipendenti di utilizzare i propri dispositivi sul lavoro.
Anche per la gestione del budget e prendere decisioni su nuovi investimenti in tecnologia, la maggior parte dei responsabili della sicurezza utilizzano metriche tecniche e gestionali concentrate quasi esclusivamente sulle problematiche operative, senza una panoramica più globale del processo aziendale. Oltre il 90% degli intervistati tiene infatti traccia del numero di incidenti di sicurezza, della perdita o furto di record, dati o dispositivi e dello stato delle verifiche e della conformità: aspetti fondamentali che tutti i responsabili della security dovrebbero seguire. Tuttavia, un numero molto minore di intervistati (solo il 12%) inserisce anche metriche di business e sicurezza nel processo di rischio aziendale.