La sicurezza informatica: analisi e definizione dei requisiti di protezione
Dopo aver parlato delle linee guide alla sicurezza informatica nell’articolo Guida completa alla sicurezza informatica nell’ambito ICT è necessario analizzare e definire i requisiti di protezione per garantire di fatto la sicurezza all’interno dei sistemi informatici.
Il “rischio” è il punto di partenza di ogni considerazione sulla sicurezza o, almeno, dovrebbe esserlo, anche perché è un concetto assolutamente radicato in un’impresa. I top manager, infatti, sono abituati a gestire il rischio, a misurarlo e a sfruttarlo a proprio favore. Sotto questo punto di vista, la sicurezza informatica si può “banalmente” considerare uno strumento di gestione del rischio. Peraltro, la complessità delle tecnologie rende il manager spesso incapace di comprendere quali siano le reali minacce e, quindi,di valutare correttamente quali asset aziendali siano in pericolo, nonché quanto sia grande tale pericolo. Questo, però, non deve rimanere l’unico approccio alla sicurezza, altrimenti potrebbe limitare le scelte e le considerazioni all’ambito del threat management senza consentire di sfruttare alcuni elementi abilitanti della sicurezza: definire i rischi e le opportunità che un’azienda deve fronteggiare o valutare correttamente le eventuali soluzioni indispensabili.
In ogni caso, è buona norma di business misurare il più accuratamente possibile il ROI (Return On Investment) della sicurezza, come di ogni altra spesa, assumendo, pertanto, che si tratti di investimenti e non di meri costi. Ogni azienda deve quindi valutare le proprie esigenze in termini di sicurezza, identificando le aree di interesse e gli ambiti nei quali sarà opportuno adottare opportuni strumenti. È necessario studiare le infrastrutture utilizzate, le applicazioni e i processi aziendali, al fine di comprendere quali investimenti conviene effettuare. Quello che emerge è una sorta di trade off tra l’investimento richiesto e il livello di protezione che si vuole o può ottenere. In altre parole, il costo della sicurezza assoluta è certamente insostenibile per un’azienda: si può considerare che sia virtualmente tendente a infinito. Ma esiste anche un altro problema: troppa sicurezza, per assurdo, risulta controproducente, in quanto vincolerebbe così tanto l’azienda da rallentarne l’attività e diminuirne la produttività. Mentre, al contrario, un corretto livello di sicurezza garantisce lo svolgimento regolare e competitivo del business e, contemporaneamente, aumenta la produttività e la redditività dell’impresa.
