|
Pagina 1 di 2
E' l'aspetto economico, non tecnologico, che determina quali tecnologie di sicurezza vengono utilizzate.
La frase introduttiva, di uno dei "pensatori" della sicurezza informatica, è al contempo spiazzante e illuminante: l'implementazione e lo sviluppo di una tecnologia di sicurezza sono sostenute soprattutto da elementi economici imprescindibili.
Collocando il tema all'interno di un'azienda, la dimensione economica della sicurezza delle informazioni aziendali è nota soprattutto al Direttore Finanziario, il quale, come in un meta-supermercato, applica una targhetta con il costo ad ogni elemento dell'azienda.
Con questa metafora non voglio sminuirne competenze e professionalità, ma anzi cercare di mostrare che un’azienda profittevole deve saper quantificare ogni sua componente e deve fare in modo che ogni responsabile abbia ben chiaro quanto impatti il suo dipartimento nei profitti e nelle perdite dell’azienda. Ho parlato di sicurezza delle informazioni e non solo di sicurezza dei sistemi informativi, poiché l’informazione è uno degli asset aziendali più importanti e la sua integrità non passa soltanto attraverso la tecnologia, ma anche attraverso ben definite procedure aziendali e una consapevolezza da parte di chiunque tratti informazioni sensibili. Le tecnologie per la sicurezza delle informazioni hanno un costo, come pure i salari dei professionisti IT in grado di amministrarle; sfortunatamente, però, sempre poca attenzione è stata dedicata al fattore economico e alle prassi finanziarie applicabili all'argomento. Per comprendere in che ambiente ci stiamo addentrando comincerò a parlare di perdite finanziarie: il Computer Security Insitute, in collaborazione con l'FBI, conduce annualmente una ricerca sui crimini informatici nelle aziende: nel 2006 è risultato che la perdita totale delle 313 aziende che hanno voluto fornire questa informazione è stata di 52.494.290 $. Questa cifra, sebbene molto ragguardevole, non fornisce un quadro esaustivo dei costi indotti dall'Information Security, non solo perché solamente solo 313 delle più di 600 società hanno voluto o potuto fornire una quantificazione economica del danno, ma anche perché ci sono voci, come quella riguardante il furto o la perdita di informazioni sensibili, che non sempre vengono dichiarate, a causa dei potenziali danni d’immagine dell’azienda (lo ammette più del 50% degli intervistati). Un altro dato significativo riguarda la percentuale di budget allocata per spese di security: il 47% delle aziende intervistate alloca per la sicurezza meno del 2% del budget IT, mentre un 12% non è in grado di quantificarne l'entità. Questi dati di fatto confermano la sensazione consolidata che i manager IT e della sicurezza abbiano dei grossi problemi nel giustificare le spese inerenti la sicurezza delle informazioni. |
Libra Security 