L'ANALISI

Gestione della cyber security all’interno delle aziende: scelte organizzative

La sicurezza informatica deve diventare sempre più un elemento strategico e imprescindibile, per cui è importante che le aziende adottino una efficace gestione della cyber security basata su corrette scelte organizzative. Analizziamole in dettaglio

28 Lug 2020
A
Andrea Antonielli

Ricercatore Osservatorio Cybersecurity & Data Protection, School of Management Politecnico di Milano


La creazione di una struttura organizzativa dedicata rappresenta uno snodo cruciale nel percorso verso un approccio consapevole e maturo alla gestione della cyber security nelle aziende.

Per garantire un’adeguata ed efficace tutela delle informazioni aziendali è infatti fondamentale, per le aziende, dotarsi di un piano strategico ben delineato in ambito organizzativo. Da questa presa di coscienza discende la necessità di strutturare un’organizzazione con ruoli di governance e indirizzo che sia in grado di sviluppare una strategia ben delineata e di allinearla alle esigenze del business.

La ricerca dell’Osservatorio Cybersecurity & Data Protection del Politecnico di Milano, condotta nel 2019, ha esplorato il mondo delle competenze e dei ruoli coinvolti nella gestione della cyber security con l’obiettivo di evidenziare la maturità organizzativa e il livello di soddisfazione delle imprese italiane rispetto al modello di gestione della sicurezza[1].

Modello organizzativo della security: esiste una configurazione ottimale?

Una corretta strategia di gestione della cyber security passa necessariamente da una chiara e univoca definizione delle responsabilità e, a tal proposito, il CISO (Chief Information Security Officer) appare essere il profilo fondamentale a cui demandare la direzione di questa tematica all’interno delle organizzazioni.

Il CISO è la figura che ricopre il ruolo di responsabile della sicurezza e che affianca alle competenze tecnologiche e organizzative soft skill relazionali, conoscenze del dominio di business e capacità di sviluppare e governare un team complesso.

L’Osservatorio negli anni scorsi ha approfondito il quadro relativo alla presenza di questa figura di direzione, riscontrando all’interno delle grandi organizzazioni italiane alcuni elementi di scarsa maturità.

La Ricerca 2019 si è focalizzata invece sulle scelte organizzative a livello macro e ha confermato una consapevolezza organizzativa carente: secondo quanto è emerso, nel 40% delle organizzazioni non esiste una specifica funzione Information Security, che è incardinata sotto l’IT, e il responsabile della sicurezza è lo stesso CIO.

WEBINAR
Sicurezza IT: focus su casi reali, “schemi di gioco” e organizzazioni criminali
Cybersecurity
Sicurezza dei dati

In più di un quarto delle organizzazioni intervistate, inoltre, esiste una funzione esterna ai Sistemi Informativi, ma la figura responsabile della sicurezza (CISO o ruolo equivalente) riporta comunque all’IT (27%). Sono ancora poche le organizzazioni che adottano una configurazione differente, in cui la funzione Information Security, esterna e indipendente dall’IT, riporta a una diversa divisione aziendale (Corporate Security, Risk Management, Legal, Compliance, ecc. – 17%) oppure direttamente al Board (16%).

La scarsa maturità organizzativa si riflette nella mancanza di soddisfazione: oltre la metà delle realtà intervistate ritiene che il modello organizzativo adottato non rappresenti una configurazione ottimale per un’efficace gestione della cyber security.

In particolare, il grado di insoddisfazione raggiunge un picco del 65% tra le aziende in cui la funzione Information Security riporta all’IT, mentre, al contrario, il 90% delle organizzazioni che hanno adottato il modello nel quale il CISO è a riporto del Board ritiene che tale configurazione sia ottimale.

Cyber security: i profili più richiesti e le difficoltà a trovarli

La bontà di un piano strategico di gestione della cyber security passa anche dall’identificazione e introduzione in azienda di figure professionali ben delineate e altamente specializzate. Relativamente al tema delle competenze, sebbene il 71% delle imprese intervistate affermi che il team interno è in possesso delle competenze necessarie, rimane comunque abbastanza elevata (29%) la percentuale di grandi imprese che dichiara che il team interno non è in possesso delle competenze necessarie.

Complessivamente, circa il 40% delle aziende è alla ricerca di nuove risorse da inserire in organico, sia per sviluppare nuove opportunità di business sia per colmare le proprie carenze organizzative. Dall’indagine è emerso tuttavia un gap importante tra la domanda e l’offerta di professionisti nell’ambito della cybersecurity, che si traduce nella difficoltà, riscontrata da ben il 77% delle aziende, di reperire sul mercato figure specializzate.

Sul podio dei profili più ricercati dalle organizzazioni vi sono:

  • il Security Analyst, che si occupa di valutare le vulnerabilità che possono interessare reti, apparati, applicazioni e servizi proponendo soluzioni ed accorgimenti pratici;
  • il Security Architect, che si occupa di svolgere l’assessment delle soluzioni di security presenti in azienda e di curare il disegno armonico e coerente delle misure di sicurezza e delle policy adottate dall’organizzazione;
  • il Security Engineer che cura il monitoraggio dei sistemi e propone soluzioni relative alla risposta agli incidenti.

Conclusione

Relativamente alle scelte organizzative aziendali, il quadro che emerge dalla ricerca in Italia conferma un ritardo, già riscontrato negli scorsi anni, testimoniato in molti casi dalla mancanza di figure direzionali dedicate e dal collocamento organizzativo generalmente non adeguato, soprattutto se confrontato con quanto avviene nel contesto internazionale.

Occorre poi porre l’accento su un altro elemento necessario per minimizzare il rischio, ossia una corretta gestione del fattore umano, che continua a rappresentare la prima vulnerabilità e la principale area di azione per le organizzazioni.

Tanto più in questo periodo di emergenza sanitaria in cui diverse attività della nostra vita lavorativa hanno subìto un radicale cambiamento e si è assistito a una crescita delle minacce informatiche dovuta al ricorso massivo a smart e remote working.

La sicurezza informatica deve diventare sempre più un elemento strategico e imprescindibile per le aziende e si rende necessario affrontare le sfide di sicurezza in contesti nuovi, anche fuori dai confini IT.

A livello organizzativo, è necessario adottare un modello integrato di indirizzo e governo della security che permetta, da un lato, di garantire l’adozione e logiche di intervento operative uniformi a ogni livello, e dall’altro di supervisionare nella maniera più completa e affidabile le fonti di minaccia, a prescindere da come si manifestino sul piano pratico.

NOTE

  1. La Ricerca 2019 dell’Osservatorio ha proposto una Survey di rilevazione che ha coinvolto 698 CISO, CSO, CIO, Compliance Manager, Risk Manager, Chief Risk Officer e DPO di imprese italiane. In particolare, sono state coinvolte 180 organizzazioni grandi (>249 addetti) e 501 PMI (tra 10 e 249 addetti).
DIGITAL EVENT 9 SETTEMBRE
Cyber Security: tra tecnologia e cultura del dato. Ecco cosa fanno i Security People
Legal
Sicurezza

@RIPRODUZIONE RISERVATA

Articolo 1 di 5