Inizio anno, tempo di rapporti sulla sicurezza dei più vari tipi.
Il primo, di Protiviti, ha titolo "Executive Perspectives on Top Risks for 2015" e riguarda i rischi (non solo di sicurezza delle informazioni) percepiti da 280 membri di Board e Top Management:
- http://www.protiviti.com/toprisks
In sintesi i rischi ritenuti più importanti sono quelli correlati ai cambiamenti normativi, all'economia generale, agli attacchi informatici, alla disponibilità del personale, alla mancanza di procedure relative alla gestione delle crisi, alle difficoltà di comprendere le aspettative dei clienti. Il decimo rischio forse li riassume tutti: "le attività attuali non riescono ad avere le prestazioni attese in merito a qualità, rapidità, costi e innovazione ". Il mio commento sintetico e, purtroppo, basato su quello che vedo: ne discutono, ma poi non promuovono né seguono attentamente azioni per trattare questi rischi; il motivo, credo, è che i manager sono giudicati nel breve termine su fatturato e utile; "sostenibilità nel medio e lungo termine" non è normalmente un parametro di giudizio.
Questa preoccupazione si percepisce nel settimo rischio che recita "la gestione della sicurezza delle informazioni richiede risorse significative".
Nota terminologica: Protiviti non usa il termine "rischio" come previsto dalle norme internazionali (ISO 31000, ISO/IEC 27001, eccetera). Ma, insomma, si capisce lo stesso.
Il secondo rapporto è il "Horizon Scan 2015" del Business Continuity Institute:
- http://www.thebci.org/index.php/obtain-the-horizon-scan-2015-document
Sintetizzo le 10 minacce ritenute più importanti: attacchi informatici, interruzioni dei sistemi informatici e delle infrastrutture, interruzioni nella filiera di fornitura, clima, malattie, fuoco, terrorismo. Interessante la preoccupazione relativa alla filiera di fornitura, che l'anno scorso era al sedicesimo posto e ora è al quinto: questo aspetto è finalmente considerato come importante. Raccomando, come minimo, la lettura dell'executive summary.
Un dato interessante per scopi polemici: le organizzazioni che dispongono di analisi e non le usano sono il 33%; mi chiedo se è perché sono commissionate a consulenti non capaci o perché sono commissionate solo per far bella figura (due dei mali che affliggono me e i miei colleghi). Un altro caso riguarda l'incapacità di rivedere le proprie decisione anche a fronte di analisi che portano a diverse conclusioni (un tipo di autoinganno molto diffuso: si "dimenticano" subito le posizioni contrarie alla nostra).
L'ultimo report è il "HP Cyber risk report 2015":
- http://www8.hp.com/us/en/software-solutions/cyber-risk-report-security-vulne
rability/index.html
Di questo seleziono alcuni dei temi chiave riportati all'inizio del rapporto: sfruttamento di vulnerabilità note da tempo (a cui sono collegati gli annosi problemi di patch non installate e di correzioni mai prese in considerazione per il principio "funziona e quindi non si tocca"); configurazioni sbagliate, difetti di progettazione, sviluppo e codifica dei software (cose che, per essere risolte, richiedono persone competenti, e quindi costose, che dedicano del tempo, che costa, ad aggiornarsi e trovare soluzioni).
Alcune parti del rapporto sono divulgative, altre più tecniche (per esempio il capitolo sulle vulnerabilità, ma non solo).
Nessun commento:
Posta un commento