La sicurezza informatica è sempre più un elemento strategico e imprescindibile.
Per cui è importante che le aziende adottino una efficace gestione della cyber security e dei business.
La creazione di una struttura organizzativa dedicata rappresenta uno snodo cruciale nel percorso verso un approccio consapevole e maturo alla gestione della cyber security.
Per garantire un’adeguata ed efficace sicurezza delle informazioni è fondamentale dotarsi di un piano strategico. Quest’ultimo dovrebbe comprendere riferimenti normativi, ruoli e responsabilità, risorse e asset, processi e attività operative.
Comprendiamo, così, la necessità di strutturare un’organizzazione con ruoli di leadership e tasks e ideare una strategia ben delineata, allineata alle esigenze del business.
La ricerca dell’Osservatorio Cybersecurity & Data Protection del Politecnico di Milano, condotta nel 2019, ha analizzato il mondo delle competenze e i ruoli necessari per la gestione della cybersecurity.
L’obiettivo è stato quello di evidenziare la maturità organizzativa e il livello di ottemperanza delle imprese italiane rispetto al modello di gestione della sicurezza.
Nel dettaglio la Ricerca 2019 dell’Osservatorio ha proposto una Survey di rilevazione che ha coinvolto 698 CISO, CSO, CIO, Compliance Manager, Risk Manager, Chief Risk Officer e DPO di imprese italiane. In particolare, sono state coinvolte 180 grandi organizzazioni (>249 addetti) e 501 PMI (tra 10 e 249 addetti).
Modello organizzativo
Una corretta strategia di gestione della cyber security passa necessariamente da una chiara e univoca definizione delle responsabilità.
A tal proposito, il CISO (Chief Information Security Officer) è una figura fondamentale. Si occupa di coordinare le iniziative di sicurezza rispetto ai programmi aziendali e agli obiettivi di business, assicurando che gli asset informativi e le tecnologie siano adeguatamente protetti.
Una premessa è d’obbligo: bisogna sottolineare che nei risultati dell’Osservatorio Information Security & Privacy 2020 che pur riportano un aumento degli investimenti in sicurezza informatica (pari all’11% anno tra il 2018 e il 2019, per un valore assoluto di revenue riferito a quest’ultimo anno di 1,3 miliardi di euro) si riscontra ancora una scarsa maturità organizzativa e di gestione. In particolare, si legge che nel 40% delle imprese la gestione dell’IT security è ancora affidata a CIO e IT ed è assente il CISO. Tale figura professionale è presente solo nel 27% delle organizzazioni interpellate.
zerounoweb.it
altri dettagli della ricerca:
La Ricerca 2019 si è focalizzata, invece, sulle scelte organizzative a livello macro. Ha confermato una consapevolezza organizzativa carente. Secondo quanto è emerso, nel 40% delle organizzazioni non esiste una specifica funzione Information Security. Questa è spesso incardinata sotto l’IT, e il responsabile della sicurezza è lo stesso CIO.
In più di un quarto delle organizzazioni intervistate, inoltre, esiste una funzione esterna ai Sistemi Informativi, ma la figura responsabile della sicurezza (CISO o ruolo equivalente) riporta comunque all’IT (27%).
Sono ancora poche le organizzazioni che adottano una configurazione differente. In cui la funzione Information Security sia esterna e indipendente dall’IT. Ad esempio facente capo a una diversa divisione aziendale (Corporate Security, Risk Management, Legal, Compliance, ecc. – 17%) oppure direttamente al Board (16%).
La scarsa maturità organizzativa si riflette nella mancanza di ottemperanza alle normative. Oltre la metà delle realtà intervistate ritiene che il modello organizzativo adottato non rappresenti una configurazione ottimale per un’efficace gestione della cyber security.
Le figure più complesse da reperire
L’efficacia di un piano strategico di gestione della cyber security e del business passa anche dall’identificazione e introduzione in azienda di figure professionali ben delineate e altamente specializzate.
Relativamente al tema delle competenze, sebbene il 71% delle imprese prese in esame affermi che il team interno è in possesso delle competenze necessarie, rimane comunque abbastanza elevata (29%) la percentuale di grandi imprese che dichiara che il team interno non è in possesso delle competenze necessarie.
Complessivamente, circa il 40% delle aziende è alla ricerca di nuove risorse o tecnici specializzati da inserire nei progetti legati all’Information technology e alla cybersecurity. Questa ricerca deriva dalle necessità di sviluppare nuove opportunità di business e colmare le proprie carenze organizzative.
Dall’indagine è emerso tuttavia un gap importante tra la domanda e l’offerta di professionisti. Questo si traduce nella difficoltà, riscontrata da ben il 77% delle aziende, di reperire sul mercato figure specializzate.
Sul podio dei profili più ricercati dalle organizzazioni vi sono:
- il Security Analyst, che si occupa di valutare le vulnerabilità che possono interessare reti, apparati, applicazioni e servizi proponendo soluzioni ed accorgimenti pratici;
- i Security Architects, che si occupa di svolgere l’assessment delle soluzioni di security presenti in azienda e di curare il disegno armonico e coerente delle misure di sicurezza e delle policy adottate dall’organizzazione;
- i Security Engineers che monitora i sistemi e propone soluzioni relative alla risposta agli incidenti.
Il quadro in Italia
Relativamente alle scelte organizzative aziendali, il quadro che emerge in Italia conferma un ritardo. Come riscontrato negli scorsi anni anche quest’anno, anche se con sensibili miglioramenti, l’Italia è in ritardo su quadro internazionale.
Questo è causato e testimoniato proprio dalla mancanza di figure direzionali dedicate, dal collocamento organizzativo generalmente non adeguato, dagli enviroment progettati da aziende/soggetti non del tutto competenti.
Occorre poi porre l’accento su un altro elemento necessario per minimizzare il rischio, ossia una corretta gestione del fattore umano, che continua a rappresentare la prima vulnerabilità e la principale area di azione per le organizzazioni.
La sicurezza informatica è, sempre più, una scelta imprescindibile per il futuro delle aziende.
È necessario affrontare le sfide di sicurezza in contesti nuovi, anche fuori dai confini IT.
A livello organizzativo, bisognerebbe adottare un modello integrato di Governance, Risk e Compliance della security che permetta, da un lato, di garantire l’adozione di logiche di intervento operativo uniformi a ogni livello, e dall’altro di supervisionare nella maniera più completa e affidabile le fonti di minaccia.
SECURITY ARCHITECT SRL
Cyber security per il tuo business
Il nostro team di analisti di cybersecurity supporta le organizzazioni, di qualunque dimensione, sia del settore pubblico che privato, nel rilevare rapidamente violazioni della sicurezza informatica e rispondere in modo efficace agli incidenti, attraverso le attività di Vulnerability Assessment, Penetration test, Data Protection, Formazione certificata sulle Cyber operations.
scopri i nostri servizi:
Implementazione di controlli Zero Trust per la conformità
La Direttiva NIS2: sicurezza delle Reti Industriali e dei Sistemi OT supportata da CISCO
Threat Actors, Malware e Exploited Vulnerabilities 2024
Blindare la Supply Chain: scegliere accuratamente i fornitori
La Sicurezza Informatica in Italia: Normative e Framework
Frodi BEC: attenzione alla truffa dell’IBAN
- Blog (65)
- Case Studies (17)
- Eventi (1)
- News (65)
- Aprile 2024 (1)
- Marzo 2024 (2)
- Febbraio 2024 (3)
- Gennaio 2024 (1)
- Dicembre 2023 (1)
- Novembre 2023 (4)
- Agosto 2023 (2)
- Luglio 2023 (3)
- Maggio 2023 (1)
- Marzo 2023 (3)
- Febbraio 2023 (2)
- Gennaio 2023 (3)
- Dicembre 2022 (2)
- Novembre 2022 (2)
- Ottobre 2022 (4)
- Settembre 2022 (2)
- Agosto 2022 (1)
- Luglio 2022 (4)
- Giugno 2022 (3)
- Maggio 2022 (3)
- Aprile 2022 (3)
- Marzo 2022 (3)
- Febbraio 2022 (3)
- Gennaio 2022 (2)
- Dicembre 2021 (4)
- Novembre 2021 (2)
- Ottobre 2021 (4)
- Settembre 2021 (4)
- Luglio 2021 (2)
- Giugno 2021 (1)
- Maggio 2021 (8)
- Aprile 2021 (27)
- Marzo 2021 (7)
