Il 65% delle aziende non ricorre in modo sistematico ad analisi del rischio per la sicurezza, mentre il 10% non lo fa affatto. Inoltre, c’è un buon 64% di aziende che non ha sistemi di misurazione dell’efficacia degli interventi.
È questa la fotografia scattata dall’Osservatorio Information Security Management del Politecnico di Milano, durante il convegno “ICT Security: quale Governance?” presso Infosecurity 2008. In particolare, il team di studiosi ha analizzato 30 casi di studio di aziende medio-grandi, coinvolgendo in seguito 300 CIO.
«Nonostante il tema dell’Information Security sia da anni al centro di un ampio dibattito a livello nazionale e internazionale, ad esso spesso non viene ancora attribuita la giusta rilevanza all’interno delle imprese, anche perchè in molti casi viene vissuto come un problema esclusivamente tecnico, sottovalutando i risvolti strategici e la pervasività dell’ICT», ha così commentato Paolo Maccarone, Responsabile Scientifico dell’Osservatorio Information Security Management.
Il problema, dunque, è che nelle aziende spesso manca un sistema di misurazione delle performance utile a garantire un’adeguata gestione della sicurezza ICT.
La soluzione? Per gli analisti la chiave deve essere rintracciata in una maggiore governance strategica e in un maggiore impegno da parte di tutti i vertici aziendali.
