1. /
  2. Confident Insights Newsletter/
  3. Un CISO può aumentare il vostro vantaggio competitivo
  • Aggiungi

Un CISO può aumentare il vostro vantaggio competitivo

16 aprile 2010

Sommario

Attualmente le grandi organizzazioni aziendali devono affrontare parecchie difficoltà nell'intento di mitigare i rischi per la sicurezza e garantire la conformità. Non c'è quindi da meravigliarsi se un sempre maggior numero di queste realtà aggiunge tra le proprie posizioni direttive un Chief Information Security Officer (CISO), ovvero un responsabile della sicurezza delle informazioni. È una mossa che sembra dare buoni risultati.
Nei team addetti alla sicurezza IT delle grandi organizzazioni sorge a volte l'impressione che le sfide attuali stiano per sfuggire a ogni controllo. È in continuo aumento il numero e la complessità degli attacchi mirati, molti dei quali sono opera di organizzazioni del crimine informatico spinte dall'obiettivo di rubare informazioni riservate. Allo stesso tempo, le infrastrutture IT sono diventate talmente grandi e complesse che diventa difficile controllare gli scostamenti dagli standard tecnici mentre un numero crescente di requisiti normativi pone ulteriori richieste su risorse già al limite.
Non dovrebbe quindi sorprendere che, malgrado l'attuale crisi dell'economia, sempre più aziende scelgono di nominare un CISO (Chief Information Security Officer) per facilitare la gestione di queste sfide. Secondo un recente sondaggio condotto da PriceWaterhouseCooopers, nel 2009 il 44% delle aziende ha assunto un CISO, rispetto al 29% nel 2008.1
Ma quanto sono efficaci i CISO per proteggere le informazioni aziendali riservate, ridurre il rischio IT globale e garantire la conformità? In questo articolo viene illustrato quanto emerge da una nuova ricerca sulle aziende che affidano a un CISO il compito di mitigare i rischi per la sicurezza.

Importanza di un CISO strategico

Recentemente, l'IT Policy Compliance Group ha portato a termine un'indagine2 di un anno sul modo in cui 809 organizzazioni gestiscono la sicurezza delle informazioni. I risultati, pubblicati in febbraio, hanno fatto luce in particolare sulle pratiche di gestione delle organizzazioni che hanno ottenuto i risultati migliori. Queste organizzazioni sono state quelle che hanno speso di meno in attività di audit, hanno avuto la minore esposizione finanziaria legata alla perdita di dati, hanno subito il minor numero di interruzioni operative causate da guasti e problemi IT e hanno avuto le percentuali più elevate di conservazione dei clienti.
Secondo l'indagine, le organizzazioni che hanno conseguito i risultati migliori hanno alcuni elementi in comune. Per iniziare, la sicurezza delle informazioni viene tipicamente gestita da un CISO o “un responsabile IT senior”, mentre le operazioni di routine sono amministrate da specialisti della sicurezza IT che rispondono al CISO. In pratica, l'IT Policy Compliance Group fa notare che le organizzazioni con un CISO “nominato” appositamente, invece di un responsabile della sicurezza delle informazioni che svolge mansioni simili, sono 10 volte meno soggette a perdite o furti di dati dei clienti.
In secondo luogo, è molto più probabile che i CISO in queste organizzazioni operino come figure strategiche, svolgendo un ruolo centrale nei piani di crescita dell'azienda. Per molti di questi CISO, il raggiungimento di migliori risultati è incluso nella descrizione delle loro mansioni. L'indagine cita l'affermazione di un CISO che afferma, “Parte del mio lavoro è di valorizzare la tecnologia per aumentare i profitti e ridurre i costi. Dimostro regolarmente ai settori dell'azienda in che modo possiamo utilizzare senza rischi la tecnologia per guadagnare di più”.

Riduzione dei rischi IT e di conformità

L'IT Policy Compliance Group fa inoltre rilevare che, per le organizzazioni con i risultati migliori, la riduzione dei rischi IT e di conformità sono considerati come un obiettivo aziendale e non come un “problema” IT. L'effetto è che i CISO in queste organizzazioni gestiscono la produttività aziendale e i rischi avvalendosi di policy e obiettivi in termini di livelli accettabili di interruzioni minime e rischi massimi. Policy, procedure e controlli sono quasi completamente automatizzati, mentre le operazioni di misurazione e reporting sul rischio e la conformità IT vengono svolte con frequenza giornaliera, settimanale e mensile.3
Come è facile intuire, le cose cambiano completamente per le organizzazioni con risultati nella gestione della sicurezza delle informazioni inferiori alla media del settore. L'IT Policy Compliance Group osserva che, per molte di queste organizzazioni, la conformità alle policy viene tuttora gestita manualmente, tramite liste di controllo, fogli di calcolo e questionari cartacei, con l'effetto di costi maggiori e mancanza di visibilità sull'applicazione globale delle policy e i rischi IT.
Quindi in che modo le pratiche vincenti delle organizzazioni più efficienti influiscono sui risultati dell'azienda? Tramite risparmi significativi sui costi. Questi risparmi provengono non solo dall'automazione di processi in precedenza manuali ma anche dalla minore necessità di rivolgersi a servizi di auditing esterni. Le conclusioni dell'IT Policy Compliance Group dimostrano che la spesa media in audit da parte delle organizzazioni con risultati normali è di 3,70 dollari per ogni dollaro speso in sicurezza e assicurazione delle informazioni.
“Al contrario, la quantità spesa in audit da parte delle organizzazioni più efficienti è di 1,30 dollari per ogni dollaro speso in sicurezza e assicurazione delle informazioni. La differenza di 2,40 dollari in riduzioni delle spese di audit per ogni dollaro speso in sicurezza delle informazioni è un ritorno estremamente alettante”.

Conclusione

Secondo la recente ricerca condotta dall'IT Policy Compliance Group sulla gestione della sicurezza delle informazioni, le organizzazioni con i risultati migliori condividono alcuni elementi caratteristici. Queste organizzazioni hanno affidato la responsabilità della sicurezza a un CISO che riveste un ruolo strategico nell'azienda: si occupa di automatizzare il più possibile policy, procedure e controlli, automatizzare e regolarizzare le operazioni di misurazione e reporting con il risultato complessivo di ridurre notevolmente la spesa annua in attività di audit.
Anche se sono disponibili numerose soluzioni per agevolare il conseguimento di questi obiettivi, Symantec Control Compliance Suite 10.0 è l'unica soluzione olistica e completamente automatizzata progettata per gestire tutti gli aspetti del rischio e delle conformità IT. Offre contenuti di policy predefiniti su vari mandati, valutazione automatica dei controlli tecnici e procedurali, reporting con pannello di controllo dinamico basato sul Web e perfetta integrazione con altre soluzioni per la sicurezza di Symantec.
Ma soprattutto, Control Compliance Suite 10.0 consente alle organizzazioni di dimostrare la conformità con varie normative di settore ai livelli più bassi in termini di costi e complessità.
Per ulteriori informazioni, visitate la pagina del prodotto Symantec Control Compliance Suite.
1The Global State of Information Security Survey, 2010, PriceWaterhouseCoopers
2Best Practices for Managing Information Security, febbraio 2010, IT Policy Compliance Group
3L'indagine ha rilevato che le seguenti procedure sono una prerogativa esclusiva delle organizzazioni più efficienti:
  • Dimostrazione dell'acquisizione dei controlli tecnici.
  • Rimedio degli scostamenti nelle procedure.
  • Test dei controlli tecnici.
  • Rilevazione o prevenzione degli accessi non autorizzati alle risorse IT.
  • Mantenimento di un inventario delle risorse IT.
  • Associazione dei controlli tecnici a policy, obblighi normativi e statuti giuridici.
  • Completamento di test di penetrazione delle risorse IT.
  • Patch e documentazione delle vulnerabilità.

Torna alla newsletter Symantec