ICT SECURITY: QUALI STRUMENTI PER UNA GOVERNANCE EFFICACE?

  1. Press release
  2.  

ICT SECURITY: QUALI STRUMENTI PER UNA GOVERNANCE EFFICACE?

RICERCA SU INFORMATION SECURITY GOVERNANCE

 

School of Management

http://www.osservatori.net

 

ICT Instituto

 http://ictinstitute.polimi.it/

 

del Politecnico di Milano

 

La maggioranza delle aziende è consapevole dell’importanza della sicurezza informatica, come testimoniano i trend dei budget allocati (il 48% dichiara un budget in crescita a fronte di un 6% che dichiara un budget in diminuzione, nonostante la crisi ) e il posizionamento e dimensionamento delle unità organizzative coinvolte (ben il 14%  delle aziende intervistate ha una struttura dedicata con allocate più di 10 persone).

           

SICUREZZA INFORMATICA: OLTRE LA CONSAPEVOLEZZA DEL PROBLEMA OCCORRONO STRUMENTI E MODELLI DI GOVERNANCE EFFICACI

 

La sfida dell’implementazione di modelli e strumenti efficaci per la Governance dell’ICT Security, a partire dai modelli organizzativi e dai processi di pianificazione degli interventi, risulta tuttora in corso.

 

I risultati dell’Osservatorio Information Security Management sono presentati all’interno di SMAU il 22 Ottobre 2009 alle ore 14.30, Sala Plenaria 3, Padiglione 3 e saranno disponibili in forma completa all’interno del Rapporto 2009 .

 

Smau - Milano, 21 – 23 Ottobre 2009 – Nel suo secondo anno di vita l’Osservatorio Information Security Management della School of Management e dell’ICT Institute del Politecnico di Milano ha condotto un’indagine finalizzata ad identificare i trend emergenti del mondo ICT Security, in termini di configurazione organizzativa, posizionamento e dimensionamento delle unità organizzative coinvolte e budget dedicato, e ad analizzare il processo di pianificazione strategica con particolare riferimento alle metodologie di risk analysis.

 La Ricerca si è basata su un’analisi empirica consistente in oltre 15 casi di studio di imprese operanti nel settore bancario, storicamente più sensibile a queste tematiche; in seguito sono state erogate due survey: la prima inviata a un panel di oltre 400 Chief Information Officer (CIO) di grandi imprese operanti in diversi settori (Assicurativo, Automotive, Bancario, Chimico, Farmaceutico, Servizi ICT, Telecomunicazioni, Utility), la seconda inviata a un panel di oltre 70 Chief Information Security Officer (CISO) operanti nel settore bancario.

 

Il Budget

Il 48% dei CIO coinvolti dichiara un trend in crescita, mentre nei restanti casi non si registrano variazioni rilevanti rispetto all’anno precedente. Solo il 6% delle imprese rispondenti ha dichiarato un trend in calo, valore significativo anche a fronte della difficile situazione economica.

 

 

Per la maggior parte dei CIO (il 57%) l’entità del budget in ICT Security è compresa tra 1% e 5% del budget ICT complessivo. Il 25% dichiara che la rilevanza strategica dell’ICT Security porta l’azienda a stanziare un budget annuale che supera il 5% del budget complessivo ICT. Solo il 18% degli intervistati dichiara un budget ICT Security minore dell’1% del budget ICT.

 

La struttura

In base alle risposte dei CIO, solo per il 7% delle aziende non è presente alcun responsabile dell’ICT Security, che sarà però introdotto a breve, mentre il 12%, non ne prevede la presenza.

Inoltre emerge come nel 72% dei casi sia presente un responsabile dedicato all’ICT Security all’interno della Direzione ICT. Di questo, nel 51% delle aziende il responsabile riporta direttamente al CIO, a testimonianza del valore strategico dell’unità.  Nel 9% dei casi, invece, viene dichiarata l’esistenza di un responsabile dedicato collocato al di fuori della Direzione ICT.

La struttura di ICT Security nel 61% dei casi è presidiata da una sola persona. Nel 22% le risorse dedicate crescono e possono variare da 2 a 5. Da evidenziare come al crescere delle dimensioni della direzione ICT cresca anche il numero di risorse allocate sui temi di ICT Security: troviamo infatti che nel 3% dei casi per persone coinvolte variano da 6 a 10, mentre per ben il 14% delle aziende l’unità supera le 10 persone.

 

La risk analysis

L’82% ricorre a metodologie di Risk Analysis; tuttavia, solo il 16% le utilizza sistematicamente (in modo strettamente strumentale all’elaborazione del piano di security, o anche nell’ambito di altre analisi periodiche), mentre ben il 66% vi ricorre in modo episodico.

Per esaminare a fondo le peculiarità di tali analisi sono stati coinvolti anche i CISO. Sono state individuate tre metodologie di risk analysis di riferimento, di cui sono state analizzate le caratteristiche, con l’obiettivo di ritrovare trend e modelli ricorrenti. Le tre metodologie sono:

·         Progettazione Nuove Iniziative: viene svolta all’inizio di un nuovo progetto

·         Disaster Recovery: viene svolta affinché un’organizzazione possa rispondere in maniera efficiente ad una situazione di emergenza

·         Adempimenti Normativi: viene svolta per essere compliant alla normativa e alle sue evoluzioni nel tempo

Dai risultati emerge come tutte queste analisi siano realizzate da almeno il 71% delle aziende, con un picco del 90% per “Adempimenti Normativi”.

 

Tra le caratteristiche di tali analisi, è stata indagata la tipologia di input che viene impiegata. Il 65% dei rispondenti indica l’analisi AS IS come la più utilizzata nel complesso delle tre metodologie individuate, mentre le serie storiche degli eventi sono poco impiegate, probabilmente per la difficoltà di tenere traccia di ciò che avviene tramite appositi database. Una terza tipologia di input è l’analisi degli scenari, che, sebbene sia utilizzata mediamente dal 35% dei rispondenti, assume una certa rilevanza (57%) per quanto riguarda la metodologia “Progettazione Nuove Iniziative”.

A conferma di questi risultati si rileva che per la raccolta delle informazioni si fa solitamente ricorso a checklist e schede (62%): la situazione AS IS, infatti, è facilmente ricostruibile interpellando le persone che la vivono ogni giorno. Ad ulteriore conferma dei dati ottenuti riguardo le tipologie di input, vediamo anche che l’incident database è la fonte informativa meno utilizzata (27%), con conseguente basso ricorso ad analisi di serie storiche.

 

Importante, inoltre è  la possibilità di utilizzare semilavorati comuni per le diverse risk analysis. A tal proposito vediamo che solo il 10% dei CISO/CIO non sfrutta questa importante sinergia , a testimonianza dell’esistenza di comunicazione e collaborazione.

(*) Questa seconda edizione dell'Osservatorio Information Security Management è stata realizzata con il supporto di IBM, KPMG, Symantec.

 

Per maggiori informazioni:

Ufficio stampa School of Management del Politecnico di Milano

www.osservatori.net

Mirandola Comunicazione

Marisandra Lizzi 348 3615042

Simona Miele 3482509895

Tel.: 0524 574708

email osservatori@mirandola.net

 

 

 

 

ICT INSTITUTE - CEFRIEL

Barbara D'Incecco
Tel.: 02 89054168 – 347 5609536

email bdincecco@dagcom.com

 

-------------------------------------------------------------------------------------------------------------------------

La School of Management del Politecnico di Milano, con oltre 240 docenti, e circa 80 fra dottorandi e collaboratori alla ricerca, dal 2003 accoglie le attività di ricerca, formazione e alta consulenza, nei campi economia, management e industrial engineering. Fanno parte della Scuola il Dipartimento di Ingegneria Gestionale, le Lauree e il PhD Program di Ingegneria Gestionale e il MIP, la business school del Politecnico di Milano. Nel 2007 ha ricevuto l’accreditamento EQUIS. Gli Osservatori ICT & Management (www.osservatori.net) della School of Management vogliono offrire una fotografia accurata e continuamente aggiornata sugli impatti che le tecnologie dell’informazione e della comunicazione (ICT) hanno in Italia su imprese, pubbliche amministrazioni, filiere, mercati, ecc. Gli Osservatori sono ormai molteplici e affrontano in particolare tutte le tematiche più innovative: Rfid, Mobile & Wireless Business, B2b: eProcurement,e eSupply Chain, eCommerce B2c, Enterprise 2.0, ICT Strategic Sourcing, CIO: ICT Strategy & Governance, ICT & PMI, Mobile Content, Mobile Marketing & Service, Fatturazione Elettronica e Dematerializzazione, New TV, Intelligent Transportation Systems, ICT & Disabilità, Information Security Management, CIO in Sanità, Mobile Finance, Multicanalità, WiFi e WiMax.

 

 

In risposta alla diffusione senza precedenti dell’ICT negli ultimi decenni, che ha cambiato profondamente il modo di fare ricerca e innovazione, il Politecnico di Milano ha creato l’ICT Institute (http://ictinstitute.polimi.it/).Questa istituzione comprende il Dipartimento di Elettronica e Informazione (DEI), La Facoltà di Ingegneria dell’Informazione, la società consortile Cefriel e gli Spin-off nel campo dell’ICT. Tutti questi enti partecipano all’iniziativa con ruoli complementari: il DEI si dedica alla ricerca avanzata, la Facoltà alle attività didattiche nel settore dell’Informazione, e il Cefriel e gli Spin-off alla progettazione e realizzazione di prodotti e servizi innovativi. L’ICT Institute promuove anche l’integrazione dei programmi didattici della Facoltà dell’Ingegneria dell’Informazione con l’offerta didattica a livello di Master gestita dal Cefriel e con il programma di Dottorato del DEI. L’ICT Institute del Politecnico di Milano è uno dei centri di ricerca più grandi d’Europa. Al suo interno operano circa 1000 persone tra professionisti, docenti e ricercatori. Il budget complessivo degli enti partecipanti si aggira intorno ai 25 milioni di € all’anno.

 

Uploaded on 22/10/2009

Condividi

Attachments

Comunicato stampa in word Information Security Management ISM - School of Management del Politecnico di Milano
Report completo Information security Management ISM - School of Management del Politecnico di Milano - solo per i giornalisti, non si può rendere disponibile online. È possibile rimandare alla fonte: www.osservatori.net dove si può scaricare ne

Areas

  • Tecnologia