Se il tema è fra i più sentiti dagli It manager, il percorso verso l’attuazione di una politica organica rimane lungo. È quanto emerge da un’indagine condotta, su scala europea, da Devoteam.
Esiste una consapevolezza in azienda della necessità di dotarsi di efficaci misure di sicurezza? Il tema è di stretta attualità, visto quanto è accaduto nella prima parte dell’anno in termini di diffusioni di virus e attacchi dall’esterno. E la risposta sembra abbastanza positiva, almeno stando alle più recenti informazioni rese note dalla società di ricerca Datamonitor, che ha stimato una spesa nel settore di 7,1 miliardi di dollari a livello mondiale per il 2002, proiettando un valore di oltre 13,5 miliardi per il 2006. Dunque, le aziende si stanno premunendo contro le crescenti minacce che arrivano da vari fronti. Tuttavia, l’alto tasso di propagazione di virus e worm lascia pensare che permanga una certa negligenza nella pratica quotidiana.
Per meglio misurare l’attitudine delle aziende europee su questo fronte e la posizione specifica degli It manager, è stata di recente realizzata una ricerca su scala europea, condotta dagli specialisti di Devoteam su un centinaio di imprese. Gli indicatori emersi fanno pendere verso una valutazione complessivamente positiva, sia in termini di presa di coscienza del problema globale sia nell’attuazione di piani di intervento o almeno nell’implementazione di soluzioni tampone. Il budget complessivo destinato alla sicurezza appare in relativa crescita, anche se per la metà degli intervistati, il miglioramento si colloca in un ambito percentuale compreso solo fra l’1 e il 4%. Tuttavia, è incoraggiante vedere che c’è un 8% già capace di consacrare oltre il 10% degli investimenti alla propria protezione. Il dato generale, poi, appare in buona progressione da qualche anno in qua, visto che gli stessi ricercatori fanno rilevare come nel 2000 non ci fosse un solo caso di azienda che superasse il 7%. I due terzi degli intervistati, in ogni caso, dichiara di voler accrescere i propri sforzi in questo campo.
Un secondo indicatore incoraggiante, sempre riferito alla mentalità, è l’affermazione in azienda della funzione del responsabile della sicurezza dei sistemi informativi. Sollecitati sul tema, gli interpellati da Devoteam hanno dichiarato in larga maggioranza (77%) di svolgere già questo ruolo nelle loro società. Queste persone hanno fatto sapere di beneficiare di un buon livello di riconoscibilità del loro ruolo all’interno della struttura (67%). E quando non si tratta direttamente del security manager, un altro responsabile operativo occupa la funzione. Infine, un terzo degli It manager svolge il doppio ruolo.
Il security manager lavora con poche certezze
In mano a un personaggio di rilievo e rafforzata da un budget in ascesa, la sicurezza sembra, dunque, dare segni di buona vitalità. La realtà, però, è fatta più di luci e ombre. Alla domanda se il security manager ha potuto attuare in buone condizioni la politica di sicurezza prestabilita nel 2003, oltre la metà (58%) ha risposto negativamente. Ciò che è peggio, l’80% di questi imputa le difficoltà a una mancanza di budget o di tempo. La sicurezza vista come baluardo indispensabile per il sistema informativo resterà così un mito? A credere alle ultime due cifre esposte, il castello di carte basato su una strategia effettivamente applicata crolla implacabilmente. Attribuirne, però, la caduta semplicemente a una carenza di mezzi non è così automatico.
Una latente richiesta di maggiori responsabilità
Laddove i security manager sentono di non essere in grado di espletare appieno la loro missione, la principale causa viene individuata nella carenza di feedback da parte della direzione generale. Il responsabile della sicurezza, nella maggior parte dei casi, risponde all’It manager e lamenta una scarsa partecipazione alla fase decisionale, anche per l’area che gli compete direttamente. Non si tratta della semplice rivendicazione di persone dotate di spiccato orgoglio, ma semmai dell’evidenza di una pessima visibilità sulla sicurezza dell’insieme del sistema informativo. Tant’è vero che c’è un 14% del campione che non sa determinare se la propria azienda abbia o meno perso denaro per problemi di sicurezza, ma, soprattutto, c’è una quota doppia che non è in grado di indicare se l’azienda sia stata o meno colpita da un cyberattacco. Questi risultati possono spiegare il frequente ricorso a audit esterni per oltre la metà delle imprese intervistate.
Si percepisce, nelle risposte date dai responsabili specifici della sicurezza, un rapporto non propriamente risolto con l’It manager, che viene visto come giudice e, contemporaneamente, parte in causa su questa materia. Questo, palesemente, genera un rapporto viziato all’origine, che si ripercuote nella carenza di comunicazioni alle direzioni generali. Chi si occupa di sicurezza, in sostanza, si trova nelle condizioni di potere tutt’al più segnalare eventuali defaillance nel sistema informativo, ma il loro impatto complessivo risulta comunque limitato, senza autonomia nella fase decisionale sulle azioni da intraprendere. Anche a livello di associazioni di categoria (in Italia c’è il Clusit), la riflessione sulle problematiche della funzione aziendale è stata avviata da tempo. Nelle realtà che se lo possono permettere in termini dimensionali, il ruolo non pare più oggetto di discussione, ma pare opportuno attribuirgli una maggior autonomia perché sia possibile integrare la politica dell’azienda sulla sicurezza o addirittura crearla ex novo.
La gioventù della funzione del security manager non è estranea alle difficoltà incontrate da questi responsabili nel loro lavoro. Però, ci sono segni di un progresso in corso. Diverse realtà, infatti, hanno approntato una carta della sicurezza, partendo dall’accesso a Internet e poi passando alla posta elettronica e oggi più estesamente all’insieme degli scambi che riguardano l’azienda. L’arrivo di un responsabile, dunque, apporta in genere una metodologia migliore e pratiche più rigorose. Chi non ha ancora seguito questa via (ed è la maggioranza) non ha nemmeno un security manager.
Sul piano pratico, la sicurezza si persegue ancora più con l’implementazione delle patch che con progetti globali. Laddove la mentalità generale pare un po’ più avanzata, in cima alla lista delle cose da fare compaiono l’implementazione di tecnologie per la gestione e la creazione di directory e l’adozione degli standard Iso. Di certo, manca ancora molto la formazione, che occupa sì uno spazio crescente nei budget, ma nei casi migliori è riservata al responsabile della sicurezza e a qualche luogotenente. Per assicurare un maggior livello di sicurezza, in futuro, occorrerà in generale giocare più d’anticipo, ma anche estendere i concetti essenziali sul tema a tutti i dipendenti.