Secondo l’analista Andrew Jacquith, di Forrester Research, servono nuovi metodi e nuovi metri di valutazione per la misurazione della sicurezza informatica in aziende e organizzazioni. Oggi si tende molto a ingigantire i problemi, anche quando non sono realmente così pressanti e questo è negativo per la salute di un’azienda e per la nostra percezione soggettiva.
Secondo Jacquith si dovrebbe cercare di sviluppare nuovi mezzi per misurare i rischi relativi ai problemi di sicurezza, per permettere ai consumatori e a chi gestisce un’organizzazione di evitare di basarsi esclusivamente sui titoli dei giornali, che spesso possono causare allarmismo ingiustificato.
L’analista suggerisce quindi alle aziende di creare dei veri e propri standard per la misurazione della sicurezza nei sistemi informatici lavorativi, distinguendo esclusivamente tra casi concreti e singoli, attraverso i quali si possono stabilire dei metri di valutazione per effettuare confronti nel tempo e tra i vari eventi riscontrati.
Ad esempio si potrebbe tentare di individuare dei singoli casi di questo tipo:
Quale percentuale di laptop è coperta da programmi anti-malware, quante intrusioni di rete ci sono state divise per il numero di utenti sulla rete, quale percentuale di intrusioni sono state individuate dai sistemi piuttosto che scovarle più tardi per caso.
Solo in questo caso si potrebbe, secondo Jacquith, stabilire un valore numerico concreto e avere la possibilità in modo molto immediato di fare un analisi dei risultati chiara ed evidente.
Afferma l’analista:
I dirigenti non hanno molto tempo, e vogliono risposte semplici sulle quali fare affidamento. Il settore della sicurezza non si è dimostrato valido nel sviluppare una spiegazione non tecnica.