Uno degli aspetti che più turbano le giornate, e anche le notti, di un CIO è come evitare la perdita di dati sensibili allocati sui dispositivi che ha in gestione. E' letteralmente un incubo da quando in caso di incidenti che portino all'uso fraudolento di dati non solo di vede messa a rischio la propria posizione ma si incorre anche nel rischio di procedimenti penali se sono coinvolti dati riservati come ad esempio dati sanitari, carte di credito, operazioni finanziarie, eccetera.
Il problema è ulteriormente reso critico dai nuovi workplace, e cioè posti di lavoro fisici o sempre più virtuali realizzati in base alle esigenze di nuove categorie di lavoratori mobili e che fanno un grande uso di strumenti quali smartphone, notebook o tablet, con sistemi operativi diversi e su cui risiedono applicazioni e dati aziendali critici.
I nuovi posti di lavoro richiedono una sicurezza più sofisticata
In un tale scenario può non essere facile bilanciare sicurezza e flessibilità. Trascurando la sicurezza da una parte si rischia di incorrere in incidenti gravi ma dall'altra, esagerando con le misure, di ridurre la produttività del dipendente, soprattutto di quelli della Y Generation che sono abituati a far largo uso di dispositivi mobili, del cloud, di dati sempre disponibili e di sistemi di Unified Communication che spaziano dal video alla condivisione di applicazioni in rete in tempo reale. E' uno scenario che implica approcci strutturali alla gestione del rischio.
Nuovo workplace e gestione del rischio
Quando si affronta il tema della gestione del rischio e lo si osserva dal punto di vista del professional IT, la sfida consiste nella protezione di un ampio insieme di cose, tutte però riconducibili alla rete aziendale, ai dati che vi sono memorizzati e che vi circolano e ai servizi.
E' una protezione che però non deve inficiare o rallentare la fruizione dei dati né lo scambio dei medesimi da parte degli utilizzatori, ad esempio quelli che appartengono al medesimo gruppo di lavoro, divisione, eccetera perché altrimenti si avrebbe un impatto negativo immediato sulla relativa produttività.
Il fatto è che si gioca non a bocce ferme, laddove le bocce sono le modalità di attacco da parte di hacker o utenti "distratti" esterni o interni, ma in uno scenario in forte movimento in cui le tecniche di attacco si fanno sempre più sofisticate e gli incident non sempre immediati da rilevare.
Il pericolo che si corre è non solo una perdita di dati, ma ancor peggio una perdita di dati o una loro alterazione fraudolenta non rilevata che può avere come conseguenza analisi, proiezione, esame statistici previsioni di budget o l'inoltro di ordini non corrispondente al reale stato dei fatti.
Nell'affrontare la sicurezza aziendale e come garantirla senza penalizzare la produttività si deve però adottare un approccio realistico, suggerisce Fujitsu, e al fine di individuare il corretto bilanciamento tra costi da affrontare e benefici da ottenere.
I paragrafi seguenti illustrano un possibile modus operandi in dieci step suddivisi in specifiche categorie di controllo e gestione del rischio.