Mondo
Le aziende sono sempre più legate all’IT nella conduzione delle attività di business, di conseguenza il rischio informatico rappresenta per il top management una questione cruciale da affrontare come parte di una più ampia strategia di gestione del rischio di business.
In questo contesto, Symantec ha annunciato i risultati dell’IT Risk Management Report, dal quale emerge, come dato principale, che il 60% degli intervistati prevede almeno un incidente informatico all’anno in grado di bloccare o addirittura compromettere attività di importanza cruciale per il business. L’obiettivo del Report rilasciato da Symantec è quello di fornire un supporto al top management e al personale IT nell’identificazione di quelli che sono gli elementi di criticità nell’ambito di una strategia efficace in termini di IT risk management.
L’indagine, sia quantitativa che qualitativa , è stata condotta nell’arco di un anno e si è conclusa a ottobre 2006. Symantec ha raccolto le informazioni fornite da oltre 500 intervistati, dagli IT manager ai top manager di aziende internazionali, nei più diversi mercati verticali.
I risultati del Report di Symantec sull’IT Risk Management, rivelano che la maggioranza degli intervistati si aspetta nei prossimi 5 anni di essere colpiti da un incidente informatico legato alla sicurezza o alla compliance. Nello specifico, il 66% prevede un incidente normativo almeno una volta ogni cinque anni. Il 58% prevede una perdita importante di dati causata da eventi quali interruzione dell’attività del data center, deterioramento dei dati o violazione dei sistemi di sicurezza, almeno una volta ogni cinque anni.
Una efficace gestione del rischio informatico richiede un forte allineamento di expertise e di investimenti tra controlli di processo e controlli IT. I migliori programmi di IT risk management si basano su controlli ben definiti che coniugano tecnologie ad hoc con processi best-practice. Symantec IT Risk Management Report ha rivelato che tutti gli intervistati, ritengono la propria azienda più efficace in termini di controlli tecnologici rispetto ai controlli di processo.
Dal rapporto emerge che l’autenticazione, l’autorizzazione e l’accesso rappresentano i processi di controllo più quotati per efficacia, con il 68% che ritiene la propria azienda efficiente per oltre il 75%. Emerge inoltre un problema specifico in termini di controllo di processo per quel che riguarda l’identificazione, la classificazione e la gestione delle risorse IT. Solo il 38% si sono detti efficaci con un valore di oltre il 75% nell’implementazione dell’inventario e della classifica delle risorse e nella gestione dei controlli di processo.
Controlli che sono di fondamentale importanza per costruire un programma di IT Risk Management in grado di riflettere le priorità aziendali. Senza un’accurata valutazione del rischio, le risorse vengono gestite in maniera uniforme, con il rischio di iper proteggerne alcune e lasciarne scoperte altre.
“Le imprese iniziano a capire l’importanza di adottare un approccio proattivo, piuttosto che reattivo, rispetto alla gestione del rischio informatico”, ha dichiarato Jon Oltsik, Analista Senior Enterprise Stategy Group. “Un’efficace gestione del rischio IT richiede alle imprese una valutazione sia in termini di tecnologia che di processo, avendo la chiara consapevolezza dei diversi rischi che possono impattare sui loro sistemi, e di conseguenza sul business in generale”.
Il Report rileva una sostanziale differenza nel modo in cui lo staff IT e gli IT manager valutano il livello di esposizione al rischio della propria azienda soprattutto in termini di rischio percepito relativamente ai processi di business e alle tematiche legate alla compliance.
Ad esempio, l’8% degli IT manager ritiene critico per le proprie attività IT il rischio legato al processo di business, contro il 22% dei direttori di sistemi IT, mentre il 23% degli IT manager ritiene critico per le proprie attività IT il rischio legato alla compliance, rispetto al 16% dei direttori di sistemi IT.
Symantec ritiene necessario un forte allineamento tra l’azienda e le aree IT al fine di garantire il successo degli investimenti in ambito di IT risk. Punti di vista differenti all’interno dell’azienda possono essere addirittura nocivi in quanto non consentono una visione e un allineamento globale a quelli che sono gli obiettivi di business. Con la conseguenza di un eccesso o mancanza di investimenti in controlli, e il conseguente spreco di risorse e l’inefficacia dei programmi di gestione del rischio informatico.
I dati emersi nel Symantec IT Risk Management Report identificano un trend di aziende Best-in-Class: Symantec definisce come migliori organizzazioni il 25% degli intervistati che hanno implementato con efficacia 16 aree di controllo. Queste imprese hanno elevati livelli di rischio in termini di processi e di business e di compliance ma bassi livelli di incidenti informatici. Un’analisi dettagliata riporta che le organizzazioni best-in-class implementano con efficacia una varietà di controlli, tra cui i controlli di processo, creando un metodo olistico. I risultati hanno inoltre rivelato che le organizzazioni a più bassa performance si focalizzano tipicamente su un numero ristretto di controlli tecnologici strategici piuttosto che sull’implementazione di un’ampia area di controlli.
