La strategia vincente, suggerisce Gartner, è quella che ricerca le vulnerabilità prima che le minacce si palesino. Per i Cio, resta difficile misurare il Roi e ottenere, quindi, budget adeguati.
In risposta all’aumento delle minacce e ai nuovi dettami legislativi, le aziende stanno allargando i cordoni della borsa del budget destinato all’It security. Secondo Gartner, i prossimi mesi saranno un interessante banco di prova per i responsabili della security. La sfida è sempre quella di convincere i vertici aziendali del valore dell’investimento, e porta con sé rischi elevati: le minacce, in particolare spam e virus, sono sempre più insidiose, mentre gli obblighi di legge assorbono buona parte dei budget.
Queste incombenze portano sempre più le aziende a considerare l’utilizzo di consulenti esterni e servizi in outsourcing.
Quale che sia la via scelta, la linea strategica suggerita da Gartner è quella di avere un atteggiamento proattivo, che significa focalizzarsi sull’individuazione ed eliminazione delle vulnerabilità, prima che si palesino le minacce.
Un modo per farlo consiste nell’acquistare l’hardware e il software più sicuro sul mercato, sollecitando i vendor e i rivenditori a innalzare costantemente il livello di protezione. Come noto, il rischio non si può mai azzerare, ma un’attività continuativa di scanning per la ricerca delle nuove vulnerabilità e di monitoraggio delle minacce risulta determinante, e rappresenta una strategia senza dubbio migliore rispetto a rimanere in attesa di rilevare un attacco in corso.
Nella sicurezza, infatti, la miglior difesa è l’attacco. Più massiccia è l’offensiva, maggiore sarà il livello di protezione ottenuto.
Un Roi difficile da valutare
Malgrado i tentativi di quantificare il ritorno sull’investimento in sicurezza, la maggior parte della spesa rappresenta meramente un centro di costo e un esborso necessario per mandare avanti il business e rispettare le leggi. La spesa piò essere giustificata con la motivazione di evitare l’insorgere di un costo, prevenendo perdite causate, per esempio, dal furto della proprietà intellettuale. Inoltre, ci sono situazioni in cui il mancato rispetto di adempimenti relativi alla security può portare a sanzioni e perfino a responsabilità penali. Meno misurabile, ma considerato nei processi di risk assessment, è il valore del danno potenziale che può risultare dalla perdita di fiducia di clienti o azionisti.
Tuttavia, le aziende devono sapere quale successo ottengono i loro programmi e le procedure per la sicurezza It. La domanda che Gartner suggerisce di porsi è: "Siamo davvero più sicuri ora rispetto allo scorso anno?" Non è facile, in effetti, effettuare misurazioni. Variabili quali il numero di virus posti in quarantena o i messaggi di spam intercettati sono solo una parte dell’equazione. Anche i costi stimati per la "pulizia" dei sistemi infetti, citati di solito dai vendor, non sono mai molto attendibili.
I vertici aziendali hanno spesso mostrato una sorprendente compiacenza nell’accettare il rischio che "qualcosa accada", perché l’eventualità sembra essere remota, mentre la spesa necessaria per implementare un’architettura di sicurezza adeguata, o per acquistare un’appliance allo stato dell’arte, è tangibile.
Non che non ci sia la consapevolezza dei danni che un attacco informatico potrebbe causare.
Ma gli amministratori delegati chiedono giustificazioni per gli investimenti, spinti dalla necessità di ottenere risultati dimostrabili.
Il consiglio per i security manager è dunque quello di essere realisti nella valutazione del loro impegno e dei budget necessari.
