Best practice per Chief Information Security Officer

di Tullio Matteo Fanti

Pubblicato 8 Novembre 2013
Aggiornato 12 Febbraio 2018 20:46

logo PMI+ logo PMI+

L’edizione 2013 dello studio IBM Chief Information Security Officer Assessment delinea le prassi che aiutano a definire il ruolo del Chief Information Security Officer (CISO), oggi decisamente strategico in quanto il Cloud e il Mobile Computing, come altre tecnologie emergenti, minacciano la sicurezza dei dati. I risultati dello studio nascono dall'analisi approfondita di business practices, maturità  tecnologica e metriche di sicurezza.

Business practice
Il CISO necessita di una visione, di una strategia e di politiche di business solide, di una gestione del rischio completa e di relazioni di business efficaci. E’ altresì importante comprendere i timori dei vertici aziendali. I responsabili della sicurezza più maturi incontrano regolarmente il consiglio di direzione e i vertici aziendali, migliorando così le relazioni. In questi incontri, i principali argomenti di discussione comprendono: l'identificazione e la valutazione dei rischi (59%), la soluzione dei problemi e delle richieste di budget (49%) e l'implementazione di nuove tecnologie (44%).

Maturità  tecnologica
La sicurezza del mobile computing è al primo posto: i tre quarti (76%) hanno realizzato servizi per la sicurezza del cloud: tra i più diffusi, il monitoraggio e l'audit dei dati, unitamente a gestione delle identità  federate e degli accessi (entrambi al 39%).
Le tecnologie fondamentali su cui si concentrano i CISO sono: gestione delle identità  e degli accessi (51%), prevenzione delle intrusioni e scansione delle vulnerabilità  della rete (39%) e sicurezza del database (32%). La principale sfida del mobile computing rispetto alla sicurezza è andare oltre le fasi iniziali e pensare meno alla tecnologia e più alla strategia e alle politiche. Meno del 40% delle organizzazioni ha adottato politiche di risposta specifiche per i dispositivi personali o una strategia aziendale per il BYOD.

Metriche per la sicurezza
I responsabili della sicurezza usano le metriche soprattutto per indirizzare il budget e per argomentare nuovi investimenti in tecnologia, in alcuni casi come aiuto per sviluppare priorità  strategiche per l'organizzazione della sicurezza.
Oltre il 90% degli intervistati tiene traccia del numero di incidenti di sicurezza, della perdita o furto di record, dati o dispositivi e dello stato delle verifiche e della conformità ; il 12% inserisce metriche di business e sicurezza nel processo di rischio aziendale, anche se i CISO affermano che l'impatto della sicurezza sul rischio aziendale nel suo complesso è il loro più importante fattore di successo.

Ricerca IBM