La sicurezza nel cloud, si tratti di private o public cloud, è uno degli argomenti più critici quando in azienda ci si trova a decidere che indirizzo strategico seguire per lo sviluppo delle proprie infrastrutture di Information Technology.
Quello che è richiesto è un approccio che tenga conto di diversi fattori e adotti metriche e policy di nuova concezione. In proposito, IBM ha pubblicato i risultati dell’edizione 2013 dell’IBM Chief Information Security Officer Assessment, che ha valutato in dettaglio aree di pertinenza dei responsabili della security, tra cui le business practice, la maturità tecnologica e le metriche per la sicurezza.
Lo studio
E' uno studio che è stato realizzato sulla base dell'esperienza accumulata dai responsabili della sicurezza di IBM, esperti nel delineare una serie di prassi che aiutino a definire il ruolo del security officer. Più nello specifico, l’IBM Center for Applied Insights, in collaborazione con IBM Security Systems e IBM Security Services, ha realizzato interviste di dettaglio con dirigenti di alto livello, responsabili della sicurezza delle informazioni nelle rispettive organizzazioni.
L’obiettivo delle interviste è consistito nell'individuare prassi e comportamenti specifici in grado di rafforzare il ruolo e l’influenza di altri responsabili della sicurezza. Per mantenere la continuità, gli intervistati sono stati estratti dal pool di partecipanti alla ricerca del 2012 (l’80 percento delle persone arruolate erano precedenti partecipanti), ponendo l’accento sui responsabili della sicurezza più maturi.
Gli intervistati, ha spiegato IBM, provenivano da una vasta gamma di settori e da quattro Paesi. Più dell’80 percento era associato a grandi imprese e circa un terzo aveva budget di sicurezza superiori a 1 milione di dollari.
Valutare il rischio
Per aiutare i CISO a proteggere meglio la loro organizzazione e comprendere come si posiziona il loro ruolo rispetto a quello di altri CISO, lo studio IBM CISO Assessment 2013 individua prassi e comportamenti che possono rafforzare il ruolo dei responsabili della sicurezza delle informazioni.
Lo studio di quest’anno ha rivelato risultati, prassi d’avanguardia e una serie di limiti con cui si confrontano anche i leader della sicurezza più maturi. Dall’analisi in profondità delle tre aree citate (business practices, maturità tecnologica, metriche di sicurezza) emerge un percorso che, ha evidenziato IBM, può fungere da guida per i CISO, sia nuovi che esperti.
1) Business practice: affichè il loro ruolo abbia un autentico impatto, gli intervistati sottolineano la necessità di una visione, di una strategia e di politiche di business solide, di una gestione del rischio completa e di relazioni di business efficaci. Anche comprendere i timori dei vertici aziendali è essenziale.
I responsabili della sicurezza più maturi incontrano regolarmente il consiglio di direzione e i vertici aziendali, migliorando così le relazioni. In questi incontri, i principali argomenti di discussione comprendono l’identificazione e la valutazione dei rischi (59 percento), la soluzione dei problemi e delle richieste di budget (49 percento) e l’implementazione di nuove tecnologie (44 percento). La sfida in questo caso è riuscire a gestire i vari timori aziendali per la sicurezza.
2) Maturità tecnologica: la sicurezza del mobile computing è al primo posto fra le tecnologie di sicurezza “implementate più di recente”, adottata da un quarto dei responsabili della sicurezza negli ultimi 12 mesi. E sebbene la privacy e la sicurezza in un ambiente cloud siano sempre motivo di preoccupazione, i tre quarti (76 percento) hanno realizzato servizi per la sicurezza del cloud: tra i più diffusi, il monitoraggio e l’audit dei dati, unitamente a gestione delle identità federate e degli accessi (entrambi al 39 percento).
Anche se il cloud e il mobile computing continuano a essere oggetto di grande attenzione in molte organizzazioni, le tecnologie fondamentali su cui si concentrano i CISO sono gestione delle identità e degli accessi (51%), prevenzione delle intrusioni e scansione delle vulnerabilità della rete (39%) e sicurezza del database (32%).
Meno del 40% delle organizzazioni ha adottato politiche di risposta specifiche per i dispositivi personali o una strategia aziendale per il BYOD, ossia la possibilità per i dipendenti di utilizzare i propri dispositivi sul lavoro. Questa lacuna viene tuttavia riconosciuta, infatti la definizione di una strategia aziendale per il BYOD (39%) e una politica di risposta agli incidenti per i dispositivi personali (27%) sono le prime due aree di cui si prevede lo sviluppo per i prossimi 12 mesi.
3) Metriche per la sicurezza: i responsabili della sicurezza usano le metriche soprattutto per indirizzare il budget e per argomentare nuovi investimenti in tecnologia. In alcuni casi, usano le misurazioni come aiuto per sviluppare priorità strategiche per l’organizzazione della sicurezza. In generale, però, le metriche tecniche e gestionali sono tuttora concentrate sulle problematiche operative.
Ad esempio, oltre il 90 percento degli intervistati tiene traccia del numero di incidenti di sicurezza, della perdita o furto di record, dati o dispositivi e dello stato delle verifiche e della conformità: aspetti fondamentali che tutti i responsabili della security dovrebbero seguire. Un numero molto minore di intervistati (12 percento) inserisce metriche di business e sicurezza nel processo di rischio aziendale, anche se i CISO affermano che l’impatto della sicurezza sul rischio aziendale nel suo complesso è il loro più importante fattore di successo.
"È evidente, rispetto a quanto emerge da questo studio, che i responsabili della sicurezza devono concentrarsi sulla ricerca di un delicato equilibrio tra sviluppare una strategia di gestione del rischio e della sicurezza che sia olistico e adottare funzionalità avanzate e strategiche, quali mobilità e BYOD", ha commentato i risultati David Jarvis, autore della relazione e manager presso l’IBM Center for Applied Insights.
Per accedere allo studio integrale, visitate il sito: ibm.com/ibmcai/ciso.