Il paradosso della sicurezza IT: la paura degli attacchi rende più vulnerabili

Con una maggior attenzione da parte dei media agli episodi legati ai cyberattacchi e alle falle nella sicurezza delle informazioni si è registrato un incremento della consapevolezza del rischio IT tra i CIO (Chief Information Officer), i CISO (Chief Information Security Officer) e i dirigenti senior delle aziende. Una indagine della società di analisi di mercato Gartner ha però rivelato che la paura degli attacchi sta portando i professionisti della sicurezza a spostare la propria attenzione dalle pratiche di enterprise risk management e risk-based information security verso la sicurezza tecnica. Questo cambiamento è spinto da ciò che gli analisti Gartner chiamano "Fear, Uncertainty and Doubt" (FUD) e che spesso conduce ad un processo decisionale molto emozionale e basato sulla reazione ad un evento.

John A. Wheeler, research director per Gartner, ha commentato: "Laddove lo spostamento volto a rafforzare i controlli sulla sicurezza tecnica non sorprende, vista l'attenzione attorno ai cyberattacchi e alle falle dell'information security, le pratiche come l'enterprise risk management o la risk-based information security sono radicate in un processo decisionale guidato dalle informazioni. Queste pratiche si focalizzano direttamente sull'incertezza e sui metodi di controllo per ridurla. Facendo ciò le paure e i dubbi ad essa legata vengono conseguentemente eliminati".

I programmi e gli approcci di gestione del rischio IT sono differenti da settore a settore e da compagnia a compagnia, e dipendono dalle uniche esigenze e requisiti di business che un'ogranizzazione IT deve supportare. Secondo Gartner le organizzazioni che stanno spostando l'attenzione dalle pratiche risk-based o che semplicemente non sono in grado di adottarle, si troveranno completamente esposte alla trappola FUD.

L'indagine mostra una tendenza consistente, con il 6% degli intervistati che si dichiara essere attento alle pratiche di gestione del rischio, contro il 12% del 2012. Wheeler afferma che con il mutamento del profilo di rischio sarà inevitabile, nel futuro, che accada un ritorno all'attenzione verso queste pratiche o, in caso contrario, le organizzazioni IT potrebbero accorgersi di non essere in grado di scoprire i rischi più gravi lasciando, nel complesso, impreparata l'intera compagnia.

Se da un lato l'atteggiamento FUD può portare a cattive abitudini di gestione è però opportuno osservare che dall'altro può anche condurre ad un impatto positivo sul budget stanziato per i programmi di gestione del rischio IT. Nel breve periodo si tratta di un beneficio, poiché può consentire l'aggiunta di risorse e personale ad un'area che tipicamente deve scontare allocazioni di budget misere. Anche in questo caso la tendenza viene rispecchiata nei risultati dell'indagine, con il 39% dei rispondenti che afferma di aver allocato fondi per oltre il 7% del buget totale, rispetto al 23% che nel 2011 aveva stanziato un budget dalle dimensioni simili.

E' però opportuno osservare che le risorse di budget allocate non possono essere date per scontate per gli anni futuri. Le risorse infatti svaniranno presto, a meno della presenza di un robusto programma di risk management per supportare la futura necessità di simili livelli di allocazione del budget. Un primo passo per la costruzione di un programma adeguato è la determinazione dell'attuale stato di maturità del programma in essere, così come l'obiettivo desiderato. Gartner raccomanda che CIO, CISO e dirigenti analizzino lo stato attuale dei programmi di gestione del rischio IT e creino una roadmap strategica per la gestione del rischio allo scopo di assicurare un livello di risorse costante.

I risultati dell'indagine condotta da Gartner evidenziano inoltre come anche la governance dedicata alla gestione del rischio si stia indebolendo, con molte realtà che si stanno allontanando dall'appoggio di un formale comitato di direzione sulla gestione del rischio, affidandosi ad un comitato informale o a nessun comitato. Questa tendenza è rispecchiata dal 53% dei rispondenti, rispetto al 39% del 2012.

"Questi risultati sembrano convalidare l'osservazione secondo la quale gli approcci risk-based e data-driven stiano cedendo il passo alle attività FUD-based ed emotion-driven. O forse, in maniera ancor più preoccupante, indicano che coloro i quali sono attanagliati da preoccupazioni semplicemente nascondono la testa sotto la sabbia invece di affrontare le minacce emergenti in modo proattivo" ha osservato Wheeler.

Wheeler afferma che instaurare un canale di comunicazione che regolarmente informi i membri del consiglio di amministrazione e la dirigenza sui rischi IT permette di giungere ad un miglior processo decisionale e, in ultima analisi, ad un risultato di business più favorevole. I partecipanti al sondaggio hanno però indicato come stiano rallentando anche le operazioni che collegano gli indicatori di rischio IT e gli indicatori di performance dell'azienda. Anche in questo caso la causa può essere individuata nell'approccio FUD-based e condotto dall'emotività.

"La mappatura tra gli indicatori di rischio e gli indicatori di performance, se condotta correttamente, può essere di beneficio per le compagnie e le organizzazioni IT che stanno cercando di sviluppare un dialogo più efficace con la dirigenza sulla gestione del rischio. Al contrario se questa operazione non viene condotta in maniera corretta può trasformarsi in un consumo di tempo e risorse, spesso sfociando in un processo pachidermico e senza successo" ha concluso Wheeler.