Le procedure per la gestione della sicurezza stanno maturando, secondo i risultati di un'indagine realizzata dagli analisti di Gartner tra febbraio e aprile 2015, coinvolgendo 964 figure presso grandi imprese (minimo 100 dipendenti) in 7 nazioni.
In particolare, la ricerca annuale di Gartner su privacy, IT risk management, information security, business continuity e compliance , spiega Tom Scholtz, vice president and Gartner Fellow, mostra che la consapevolezza verso la sicurezza è aumentata perché si è compreso il valore dell'impatto del rischio in ambito digital sul business. Molto hanno contribuito i passaggi in cronaca di numerosi e significativi incidenti di sicurezza, avvenuti nel corso del 2014.
Il 71% degli intervistati ha dichiarato che i dati sull'IT risk management influenzano le decisioni in seno al consiglio di amministrazione. Fino a diventare parte della corporate governance. Questo diventa possibile specialmente laddove membri del team di sicurezza vengono ascoltati al di fuori del team stesso. Ciò avviene nel 38% delle imprese coinvolte.
In questi casi si riesce a superare l'idea, diffusa presso molti top manager, che la sicurezza sia un problema dell'IT. Un errore in cui cascano molti perché non sanno quanti degli incidenti di sicurezza sono causati dall'errore umano.
In un crescente numero di imprese, però, il problema viene ricondotto al rischio aziendale. Per il 63% degli intervistati, il team di sicurezza viene supportato da top manager esterni al team (era il 54% nel 2014). Rimane peraltro ferma al 30% la quota di CEO e membri del Cda che supportano direttamente la gestione della sicurezza (più precisamente era al 29% nel 2014).
Questi manager "illuminati" sono più diffusi in Europa Occidentale (63%) e in Asia/area del Pacifico (67%), rispetto al Nord America (57%).
L'invito degli analisti Gartner è dunque quello di coinvolgere un senior executive nella gestione della sicurezza, senza del quale sarà difficile essere realmente efficaci nel supportare le esigenze di business in termini di governance.
Purtroppo proprio l'efficacia delle policy di sicurezza è ancora scarsa, anche perché solo per il 30% degli intervistati la definizione delle policy coinvolge le business unit: ancora troppo pochi, anche se è un bel miglioramento rispetto al 16% del 2014.
Ulteriori informazioni sono disponibili nel report "Survey Analysis: Information Security Governance, 2015-16".