Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Cupertino, Calif. – 31 gennaio 2008 - Symantec Corp. (Nasdaq: SYMC) ha presentato il secondo
volume del Symantec IT Risk Management Report, dal quale emerge l’aumento della
consapevolezza nei confronti dell'importanza della gestione del rischio IT. Tuttavia alcuni miti
continuano a resistere. Nonostante lo studio riveli che i professionisti del settore stanno optando per
un approccio molto più equilibrato che tenga conto di aspetti quali la sicurezza, la disponibilità, la
conformità e i rischi prestazionali, persistono interpretazioni errate della gestione del rischio IT che
possono portare a potenziali insuccessi dell'infrastruttura tecnologica, con inevitabili ripercussioni
sulla business continuity. Il report evidenzia, inoltre, che i problemi di processo possono causare il
53% degli incidenti IT, e che molto spesso i responsabili IT sottovalutano la frequenza degli episodi
di perdita dei dati.
Lo studio, basato sull'analisi di oltre 400 interviste dettagliate e strutturate con professionisti IT di
ogni parte del mondo evidenzia, da un lato, le principali problematiche e tendenze, dall'altro
identifica e smentisce i quattro miti comunemente associati al rischio IT:
Quanto emerso dallo studio conferma come i rischi legati alla sicurezza e alla conformità attraggano
spesso l'attenzione data la loro elevata visibilità e il grande impatto – il 63% degli intervistati ha
affermato che gli incidenti che causano una perdita di dati impattano pesantemente sulle loro attività
di business. Un'enfasi maggiore viene riservata al rischio di disponibilità: la ricerca dimostra come
questo tipo di rischio possa percorrere tutta la catena del valore e creare perdite per milioni di
dollari, anche in casi di problemi prestazionali di minore entità. I ricercatori di Dartmouth e
dell'Università della Virginia sono arrivati alla conclusione che un ipotetico errore sulla rete
SCADA (Supervisory Control and Data Acquisition) di una raffineria petrolifera produrrebbe un
danno economico pari a 405 milioni di dollari; una perdita che riguarderebbe la raffineria per 255
milioni di dollari, mentre la somma restante sarebbe a carico dell'intera supply chain
(http://www.ists.dartmouth.edu/library/207.pdf).
Il mito secondo cui la gestione del rischio IT può essere affrontata come singolo progetto, o
addirittura come serie di esercizi puntuali distribuiti in diversi periodi di budget o su più anni, non
tiene conto della natura dinamica dell'ambiente di rischio interno ed esterno. La gestione del rischio
IT dovrebbe essere affrontata in qualità di processo continuativo al fine di stare al passo con i
mutevoli scenari di business. Gli incidenti tecnologici in ambito di sicurezza, disponibilità,
conformità e prestazioni possono avere un impatto devastante sulle moderne aziende. Lo studio ha,
inoltre, messo in evidenza che sul fronte della frequenza dei diversi incidenti IT:
Lo studio rivela come le organizzazioni più efficienti adottino invece un approccio di tipo olistico.
Sono tuttavia ancora molte le realtà che sembrano non riuscire a implementare una serie di controlli
fondamentali per la gestione del rischio, come ad esempio la classificazione e la gestione degli
asset, aree in cui solo il 40% degli intervistati ha confermato performance efficaci al 75% e oltre. In
aggiunta, solo il 34% dei partecipanti allo studio ritiene di disporre di un inventario aggiornato
relativo al parco dispositivi mobili e wireless, elementi essenziali allo svolgimento delle attuali
attività di business.
Se è vero che la tecnologia svolge un ruolo chiave nella mitigazione del rischio, è altrettanto vero
che le persone e i processi supportati dalla tecnologia concorrono anch'essi all'efficacia di un
programma di gestione del rischio IT. Secondo lo studio, i problemi legati ai processi causano il
53% degli incidenti IT. Diversi controlli hanno inoltre dimostrato un calo rispetto alle percentuali
pubblicate nel report dello scorso anno, generando maggiori preoccupazioni. Ad esempio, i controlli
di processo recepiti come occasione di training e consapevolezza hanno registrato una diminuzione,
passando dal 50% circa al solo 43% di intervistati che dichiarano di ritenere efficaci al 75% i
programmi di training e di consapevolezza organizzati dalle rispettive aziende.
Come già emerso nel Volume I, questa edizione dello studio ha evidenziato uno scarso
miglioramento del già basso punteggio assegnato al controllo sulla classificazione di inventari e
asset. Infine, solo il 43% degli intervistati giudica efficace per più del 75% la gestione del ciclo di
vita dei dati, riportando un calo del 17% rispetto al Volume I. La scarsità di questi controlli lascia
presumere che agli asset spetterà lo stesso trattamento, così che alcuni sistemi, processi e oggetti
finiranno per essere sovraprotetti, mentre altri saranno sottoprotetti dal rischio IT, generando
notevoli inefficienze in termini di costi e servizio.
Il Volume II dell'IT Risk Management Report ha messo in evidenza un aumento del 10% nel
numero di partecipanti che giudica efficace per più del 75% lo sviluppo di applicazioni sicure. Dal
report è inoltre emerso che il problem management sta suscitando una sempre maggiore attenzione.
Quarto mito: la gestione del rischio IT è già diventata una disciplina formale
Lo studio evidenzia come la gestione del rischio IT sia una disciplina di business in costante
evoluzione, piuttosto che una scienza precisa: questo fatto è dovuto alla fiducia nell'esperienza
maturata da individui e organizzazioni che si trovano a dover stare al passo con ambienti
tecnologici e business in continuo cambiamento. Esiste una comprensione più profonda del fatto
che la gestione del rischio IT integra elementi di gestione operativa del rischio, di controllo della
qualità e di governance sul piano business e IT. Inoltre, è possibile che i professionisti vedano la
gestione del rischio IT come un insieme di principi rigidi e di relazioni fisse applicabili
universalmente attraverso settori verticali e aree geografiche.
Lo studio ha inoltre fotografato lo status della gestione del rischio IT nei differenti mercati verticali.
Nello specifico è emerso che gli intervistati del comparto sanitario si aspettano il maggior numero
di incidenti IT rispetto a tutti gli altri segmenti industriali; data la complessità e la natura alquanto
personalizzata tipiche dei servizi sanitari, oltre ai rigidi requisiti di conformità normativa, ciò genera
non poche preoccupazioni. Il settore delle telecomunicazioni si è aggiudicato la prima posizione per
quanto riguarda l'applicazione dei controlli alla gestione del rischio IT, seguito a ruota dal comparto
bancario e da quello dei servizi finanziari. Un successo molto probabilmente determinato da una
maggiore governance e da un esame più attento della conformità che caratterizzano questi ambiti,
unitamente alla preoccupazione di dover garantire la tutela dei dati personali.
“Giunto al suo secondo anno, l'IT Risk Management Report offre ai professionisti IT e al top
management un'analisi dettagliata e mirata della disciplina della gestione del rischio IT proponendo
una panoramica completa di ciò che funziona e di ciò che invece non va, fino a fornire linee guida e
best practice applicabili per un'efficace implementazione dei programmi”, ha commentato David
Thompson, Group President, Symantec Information Technology and Services Group.
“Comprendere meglio la disciplina della gestione del rischio IT dà alle organizzazioni gli strumenti
adatti per assumere rischi calcolati in totale fiducia e utilizzare l'IT per trarre vantaggio
competitivo”.
Symantec è il leader globale nella creazione di soluzioni studiate per la sicurezza, la disponibilità e l’integrità delle
informazioni di consumatori e imprese. L’azienda aiuta i propri clienti a proteggere le loro infrastrutture, informazioni e
relazioni fornendo software e servizi per fronteggiare i rischi connessi alla sicurezza, accesso, compliance a prestazioni.
Con sede a Cupertino, in California, Symantec è presente in oltre 40 paesi. Per ulteriori informazioni, consultare il sito
web all’indirizzo www.symantec.com o www.symantec.it
###
NOTE PER GLI EDITORI: Per maggiori informazioni riguardo Symantec Corporation e i suoi prodotti è possibile
visitare la Symantec News Room all'indirizzo http://www.symantec.com/news.
Symantec e il logo Symantec sono marchi o marchi registrati di Symantec Corporation o di sue consociate negli Stati
Uniti e in altri Paesi. Gli altri nomi citati possono essere marchi appartenenti ai rispettivi proprietari.