Categorie
News

Cyber security e business: scelte per il futuro

La sicurezza informatica è sempre più un elemento strategico e imprescindibile.

Per cui è importante che le aziende adottino una efficace gestione della cyber security e dei business.

La creazione di una struttura organizzativa dedicata rappresenta uno snodo cruciale nel percorso verso un approccio consapevole e maturo alla gestione della cyber security.

Per garantire un’adeguata ed efficace sicurezza delle informazioni è fondamentale dotarsi di un piano strategico. Quest’ultimo dovrebbe comprendere riferimenti normativi, ruoli e responsabilità, risorse e asset, processi e attività operative.

Comprendiamo, così, la necessità di strutturare un’organizzazione con ruoli di leadership e tasks e ideare una strategia ben delineata, allineata alle esigenze del business.

La ricerca dell’Osservatorio Cybersecurity & Data Protection del Politecnico di Milano, condotta nel 2019, ha analizzato il mondo delle competenze e i ruoli necessari per la gestione della cybersecurity.

L’obiettivo è stato quello di evidenziare la maturità organizzativa e il livello di ottemperanza delle imprese italiane rispetto al modello di gestione della sicurezza.

Nel dettaglio la Ricerca 2019 dell’Osservatorio ha proposto una Survey di rilevazione che ha coinvolto 698 CISO, CSO, CIO, Compliance Manager, Risk Manager, Chief Risk Officer e DPO di imprese italiane. In particolare, sono state coinvolte 180 grandi organizzazioni (>249 addetti) e 501 PMI (tra 10 e 249 addetti).

Modello organizzativo

Una corretta strategia di gestione della cyber security passa necessariamente da una chiara e univoca definizione delle responsabilità.

A tal proposito, il CISO (Chief Information Security Officer) è una figura fondamentale. Si occupa di coordinare le iniziative di sicurezza rispetto ai programmi aziendali e agli obiettivi di business, assicurando che gli asset informativi e le tecnologie siano adeguatamente protetti.

Una premessa è d’obbligo: bisogna sottolineare che nei risultati dell’Osservatorio Information Security & Privacy 2020 che pur riportano un aumento degli investimenti in sicurezza informatica (pari all’11% anno tra il 2018 e il 2019, per un valore assoluto di revenue riferito a quest’ultimo anno di 1,3 miliardi di euro) si riscontra ancora una scarsa maturità organizzativa e di gestione. In particolare, si legge che nel 40% delle imprese la gestione dell’IT security è ancora affidata a CIO e IT ed è assente il CISO. Tale figura professionale è presente solo nel 27% delle organizzazioni interpellate.

zerounoweb.it
altri dettagli della ricerca:

La Ricerca 2019 si è focalizzata, invece, sulle scelte organizzative a livello macro. Ha confermato una consapevolezza organizzativa carente. Secondo quanto è emerso, nel 40% delle organizzazioni non esiste una specifica funzione Information Security. Questa è spesso incardinata sotto l’IT, e il responsabile della sicurezza è lo stesso CIO.

In più di un quarto delle organizzazioni intervistate, inoltre, esiste una funzione esterna ai Sistemi Informativi, ma la figura responsabile della sicurezza (CISO o ruolo equivalente) riporta comunque all’IT (27%).

Sono ancora poche le organizzazioni che adottano una configurazione differente. In cui la funzione Information Security sia esterna e indipendente dall’IT. Ad esempio facente capo a una diversa divisione aziendale (Corporate Security, Risk Management, Legal, Compliance, ecc. – 17%) oppure direttamente al Board (16%).

La scarsa maturità organizzativa si riflette nella mancanza di ottemperanza alle normative. Oltre la metà delle realtà intervistate ritiene che il modello organizzativo adottato non rappresenti una configurazione ottimale per un’efficace gestione della cyber security.

Le figure più complesse da reperire

L’efficacia di un piano strategico di gestione della cyber security e del business passa anche dall’identificazione e introduzione in azienda di figure professionali ben delineate e altamente specializzate.

Relativamente al tema delle competenze, sebbene il 71% delle imprese prese in esame affermi che il team interno è in possesso delle competenze necessarie, rimane comunque abbastanza elevata (29%) la percentuale di grandi imprese che dichiara che il team interno non è in possesso delle competenze necessarie.

Complessivamente, circa il 40% delle aziende è alla ricerca di nuove risorse o tecnici specializzati da inserire nei progetti legati all’Information technology e alla cybersecurity. Questa ricerca deriva dalle necessità di sviluppare nuove opportunità di business e colmare le proprie carenze organizzative.

Dall’indagine è emerso tuttavia un gap importante tra la domanda e l’offerta di professionisti. Questo si traduce nella difficoltà, riscontrata da ben il 77% delle aziende, di reperire sul mercato figure specializzate.

Sul podio dei profili più ricercati dalle organizzazioni vi sono:

  • il Security Analyst, che si occupa di valutare le vulnerabilità che possono interessare reti, apparati, applicazioni e servizi proponendo soluzioni ed accorgimenti pratici;
  • i Security Architects, che si occupa di svolgere l’assessment delle soluzioni di security presenti in azienda e di curare il disegno armonico e coerente delle misure di sicurezza e delle policy adottate dall’organizzazione;
  • i Security Engineers che monitora i sistemi e propone soluzioni relative alla risposta agli incidenti.

Il quadro in Italia

Relativamente alle scelte organizzative aziendali, il quadro che emerge in Italia conferma un ritardo. Come riscontrato negli scorsi anni anche quest’anno, anche se con sensibili miglioramenti, l’Italia è in ritardo su quadro internazionale.

Questo è causato e testimoniato proprio dalla mancanza di figure direzionali dedicate, dal collocamento organizzativo generalmente non adeguato, dagli enviroment progettati da aziende/soggetti non del tutto competenti.

Occorre poi porre l’accento su un altro elemento necessario per minimizzare il rischio, ossia una corretta gestione del fattore umano, che continua a rappresentare la prima vulnerabilità e la principale area di azione per le organizzazioni.

La sicurezza informatica è, sempre più, una scelta imprescindibile per il futuro delle aziende.

È necessario affrontare le sfide di sicurezza in contesti nuovi, anche fuori dai confini IT.

A livello organizzativo, bisognerebbe adottare un modello integrato di Governance, Risk e Compliance della security che permetta, da un lato, di garantire l’adozione di logiche di intervento operativo uniformi a ogni livello, e dall’altro di supervisionare nella maniera più completa e affidabile le fonti di minaccia.

SECURITY ARCHITECT SRL

Cyber security per il tuo business
Il nostro team di analisti di cybersecurity supporta le organizzazioni, di qualunque dimensione, sia del settore pubblico che privato, nel rilevare rapidamente violazioni della sicurezza informatica e rispondere in modo efficace agli incidenti, attraverso le attività di Vulnerability Assessment, Penetration test, Data Protection, Formazione certificata sulle Cyber operations.
Cyber security e Business
scopri i nostri servizi:
Come può una PMI creare un ecosistema di sicurezza informatica con soluzioni CISCO?
Blog

Come può una PMI creare un ecosistema di sicurezza informatica con soluzioni CISCO?

Questo il titolo del nostro Webinar, ormai alla sua seconda edizione. Il Webinar è una collaborazione con CISCO, sponsorizzata da Webinaze e Radius Digital. Argomento principale: soluzioni CISCO per PMI. Informazioni generali: Durata...
Leggi tutto
Cybersecurity nel settore Healthcare
Blog Case Studies News

Cybersecurity nel settore Healthcare

Trattiamo un tema caldo: Cybersecurity e Healthcare. Quali sono i rischi? Perché il settore sanitario é un ottimo target? Quali sono le possibili soluzioni? Qual è il nostro approccio? Nell'ultimo decennio, la minaccia...
Leggi tutto
Cyber security e business: scelte per il futuro
News

Cyber security e business: scelte per il futuro

La sicurezza informatica è sempre più un elemento strategico e imprescindibile. Per cui è importante che le aziende adottino una efficace gestione della cyber security e dei business. La creazione di una struttura organizzativa...
Leggi tutto
Cybersecurity Trends 2022
News

Cybersecurity Trends 2022

SECURITY ARCHITECT SRL anche quest'anno illustra quali sono le previsioni riguardanti la sicurezza informatica nel 2022, per consentire un processo decisionale più informato e proattivo. Come ogni anni tiriamo un po' le somme...
Leggi tutto
Best practice sulla sicurezza informatica a Natale
News

Best practice sulla sicurezza informatica a Natale

La corsa alle feste è alle porte, così come il rischio di attacchi informatici. Gli attori delle minacce spesso si mettono al lavoro durante le vacanze. Il personale IT è spesso dimezzato per...
Leggi tutto
E se sei stato compromesso e non te ne sei accorto?
Blog News

E se sei stato compromesso e non te ne sei accorto?

Gli hacker possono vivere nei sistemi informatici per più di sei mesi senza essere rilevati. Le aziende devono diventare proattive per neutralizzare le minacce. Vediamo un esempio lampante di queste tipologie di eventi...
Leggi tutto

News Letter

Leave this field blank
Per saperne di piÙ

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *