Il paradosso della sicurezza IT: la paura degli attacchi rende più vulnerabili

Il paradosso della sicurezza IT: la paura degli attacchi rende più vulnerabili

Un'indagine Gartner mostra come molte aziende stiano abbandonando le tradizionali pratiche di gestione del rischio IT verso un atteggiamento meno efficace e basato sulla paura e sull'emotività del momento

di Andrea Bai pubblicata il , alle 10:01 nel canale Mercato
 

Con una maggior attenzione da parte dei media agli episodi legati ai cyberattacchi e alle falle nella sicurezza delle informazioni si è registrato un incremento della consapevolezza del rischio IT tra i CIO (Chief Information Officer), i CISO (Chief Information Security Officer) e i dirigenti senior delle aziende. Una indagine della società di analisi di mercato Gartner ha però rivelato che la paura degli attacchi sta portando i professionisti della sicurezza a spostare la propria attenzione dalle pratiche di enterprise risk management e risk-based information security verso la sicurezza tecnica. Questo cambiamento è spinto da ciò che gli analisti Gartner chiamano "Fear, Uncertainty and Doubt" (FUD) e che spesso conduce ad un processo decisionale molto emozionale e basato sulla reazione ad un evento.

John A. Wheeler, research director per Gartner, ha commentato: "Laddove lo spostamento volto a rafforzare i controlli sulla sicurezza tecnica non sorprende, vista l'attenzione attorno ai cyberattacchi e alle falle dell'information security, le pratiche come l'enterprise risk management o la risk-based information security sono radicate in un processo decisionale guidato dalle informazioni. Queste pratiche si focalizzano direttamente sull'incertezza e sui metodi di controllo per ridurla. Facendo ciò le paure e i dubbi ad essa legata vengono conseguentemente eliminati".

I programmi e gli approcci di gestione del rischio IT sono differenti da settore a settore e da compagnia a compagnia, e dipendono dalle uniche esigenze e requisiti di business che un'ogranizzazione IT deve supportare. Secondo Gartner le organizzazioni che stanno spostando l'attenzione dalle pratiche risk-based o che semplicemente non sono in grado di adottarle, si troveranno completamente esposte alla trappola FUD.

L'indagine mostra una tendenza consistente, con il 6% degli intervistati che si dichiara essere attento alle pratiche di gestione del rischio, contro il 12% del 2012. Wheeler afferma che con il mutamento del profilo di rischio sarà inevitabile, nel futuro, che accada un ritorno all'attenzione verso queste pratiche o, in caso contrario, le organizzazioni IT potrebbero accorgersi di non essere in grado di scoprire i rischi più gravi lasciando, nel complesso, impreparata l'intera compagnia.

Se da un lato l'atteggiamento FUD può portare a cattive abitudini di gestione è però opportuno osservare che dall'altro può anche condurre ad un impatto positivo sul budget stanziato per i programmi di gestione del rischio IT. Nel breve periodo si tratta di un beneficio, poiché può consentire l'aggiunta di risorse e personale ad un'area che tipicamente deve scontare allocazioni di budget misere. Anche in questo caso la tendenza viene rispecchiata nei risultati dell'indagine, con il 39% dei rispondenti che afferma di aver allocato fondi per oltre il 7% del buget totale, rispetto al 23% che nel 2011 aveva stanziato un budget dalle dimensioni simili.

E' però opportuno osservare che le risorse di budget allocate non possono essere date per scontate per gli anni futuri. Le risorse infatti svaniranno presto, a meno della presenza di un robusto programma di risk management per supportare la futura necessità di simili livelli di allocazione del budget. Un primo passo per la costruzione di un programma adeguato è la determinazione dell'attuale stato di maturità del programma in essere, così come l'obiettivo desiderato. Gartner raccomanda che CIO, CISO e dirigenti analizzino lo stato attuale dei programmi di gestione del rischio IT e creino una roadmap strategica per la gestione del rischio allo scopo di assicurare un livello di risorse costante.

I risultati dell'indagine condotta da Gartner evidenziano inoltre come anche la governance dedicata alla gestione del rischio si stia indebolendo, con molte realtà che si stanno allontanando dall'appoggio di un formale comitato di direzione sulla gestione del rischio, affidandosi ad un comitato informale o a nessun comitato. Questa tendenza è rispecchiata dal 53% dei rispondenti, rispetto al 39% del 2012.

"Questi risultati sembrano convalidare l'osservazione secondo la quale gli approcci risk-based e data-driven stiano cedendo il passo alle attività FUD-based ed emotion-driven. O forse, in maniera ancor più preoccupante, indicano che coloro i quali sono attanagliati da preoccupazioni semplicemente nascondono la testa sotto la sabbia invece di affrontare le minacce emergenti in modo proattivo" ha osservato Wheeler.

Wheeler afferma che instaurare un canale di comunicazione che regolarmente informi i membri del consiglio di amministrazione e la dirigenza sui rischi IT permette di giungere ad un miglior processo decisionale e, in ultima analisi, ad un risultato di business più favorevole. I partecipanti al sondaggio hanno però indicato come stiano rallentando anche le operazioni che collegano gli indicatori di rischio IT e gli indicatori di performance dell'azienda. Anche in questo caso la causa può essere individuata nell'approccio FUD-based e condotto dall'emotività.

"La mappatura tra gli indicatori di rischio e gli indicatori di performance, se condotta correttamente, può essere di beneficio per le compagnie e le organizzazioni IT che stanno cercando di sviluppare un dialogo più efficace con la dirigenza sulla gestione del rischio. Al contrario se questa operazione non viene condotta in maniera corretta può trasformarsi in un consumo di tempo e risorse, spesso sfociando in un processo pachidermico e senza successo" ha concluso Wheeler.

3 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Rubberick12 Novembre 2013, 14:21 #1
Questo articolo mi perplime... l'ho riletto un paio di volte e ho difficoltà a capire vari passaggi.

Le ipotesi sono 2..

- o non ci ho capito nulla perchè è estremamente specializzato per gli utenti del settore, ma dubito dato che non sono proprio l'ultimo utente che non ne capisce niente di IT.

- o forse la moda di tradurre in modo letterale articoli in inglese è sempre + spinta -_-'

chissà perchè sono molto tentato dalla seconda ipotesi..
mirkonorroz12 Novembre 2013, 17:31 #2
Mah... io in genere capisco poco o nulla di queste cose, ma sembra troppo complessa la struttura usata per essere una mera traduzione.

Da quel poco che capisco io sembra che esistano due entita':

1. Gestione dei rischi come procedure o protocolli o comportamenti da adottare
(esempio stupido, non navigare di qua, non scaricare di la', fare i backups, e mille altre cose che non posso conoscere, non essendo del settore)

2. Adozione di infrastrutture o materiale tecnico per proteggersi "fisicamente" dalle varie minacce (esempio, firewall, comprare nuove unita' di backup etc. e mille altre cose che non posso conoscere, non essendo del settore)

Se ti "comporti bene" (punto 1) probabilmente avrai un piu' razionale, ed economico, approccio al dimensionamento della parte tecnica (punto2).
Ma questo sottende una analisi appunto anche verso la realizzazione delle infrastrutture, altrimenti uno potrebbe obbiettare che il punto 1 non basta se non si ha gia' un insieme minimo di risorse hw su cui contare.

Se non pensi e ti butti sul punto 2, rischi di spendere soldi in eccesso e organizzare le cose male (procedure non seguite) ed essere piu' esposto agli attacchi o rischi in genere.

In realta' entrambi i punti vanno supportati con la testa: cioe' mi sembra strano ci si butti a spendere in apparecchiature (o software) (punto 2, fud) cosi' senza nemmeno pensare a come si dovranno usare...

Mah...
Lieutenant12 Novembre 2013, 19:42 #3
mirkonorroz, in realtà è ancora più complesso.

La frase chiave è "gestione del rischio". E' una vera e propria disciplina e contempla diversi aspetti, dalla sicurezza tecnica (sviluppare le cose nel modo giusto, tenere aggiornati i software e via dicendo) a questioni più complesse come la valutazione del profilo di rischio della società, dei dati gestiti, le ripercussioni (e quindi i costi) in caso di incidente e altro ancora che onestamente non conosco.

Insomma, non è solo questione di attrezzature e di comportamenti da adottare nel quotidiano ma anche di comprendere e quantificare il rischio in caso di "incidente" in modo da capire quanto vale la pena spendere e in cosa: una strategia a tutti gli effetti.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^