La funzione esiste nel 78% delle aziende italiane, secondo i dati raccolti da School of Management del Politecnico di Milano e Cefriel.
È stato presentato il primo Osservatorio Information Security Management redatto da School of Management del Politecnico e Cefriel.
L’indagine intende fotografare lo scenario italiano della protezione Ict in azienda. Il campione della ricerca è rappresentato da 30 casi utente di taglio corporate e da interviste compiute su un panel di 300 Cio di realtà medie e grandi.
Il dato più significativo è rappresentato dal 78% di realtà che dichiarano di avere dedicato una funzione specifica alla sicurezza It all’interno del dipartimento Ict.
Per il 53% delle aziende, chi guida la sicurezza riporta direttamente al Cio, mentre nel 25% dei casi il responsabile dell’unità è un secondo riporto, in quanto la sicurezza Ict si trova all’interno di un altro team della funzione It. Infine, il 22% del campione non ha un’unità dedicata alla sicurezza Ict all’interno della funzione It.
«Se si analizza – ha detto Paolo Maccarrone, responsabile scientifico dell’Osservatorio Information Security Management insieme a Luca Marzegalli – il peso che la funzione Ict Security ha sull’organizzazione, si nota che nel 41% dei casi questa è composta di una persona impiegata a tempo pieno, nel 30% impiega da 2 a 5 persone e nell’11% da una o due persone a tempo parziale oppure, nelle realtà corporate, da 6 a 10 persone». Oltre la metà degli intervistati dichiara di avere un budget specifico dedicato alla sicurezza Ict.
Laddove esiste uno stanziamento ad hoc, nel 57% dei casi il valore è compreso tra l’1 e il 5% dell’investimento Ict complessivo, mentre per il 19% dei rispondenti oscilla tra il 5 e il 10%. Solo nel 12% dei casi questo stanziamento supera il 10% del budget informatico, a pari merito con le realtà che dedicano a queste incombenze una quota inferiore all’1% della spesa Ict totale.
«Nei progetti di security in corso – ha aggiunto Marzegalli – prevalgono gli investimenti in gestione di identità, accessi e firewall, citati nel 19% dei casi. A seguire, l’aggiornamento software, con una quota del 10%. Nei progetti futuri, invece, predomina la disaster recovery secondo il 16% degli intervistati. A seguire, la gestione di identità e accessi e il rafforzamento dell’infrastruttura server e client, citati nel 12% dei casi».
