Sul SANS NewsBites del 3 aprile trovo la seguente notizia: secondo
un'indagine del Government Accountability Office (GAO) presso responsabili
dell'IT (CIO, Chief Information Officer) di 24 agenzie federali tra le più
grandi, i report richiesti dal Office of Management and
Budget (OMB) sono in gran parte inutili e costosi:
- http://www.nextgov.com/cio-briefing/2015/04/survey-cios-say-many-it
Si tratta certamente di cose molto specifiche, ma il report del GAO mi ha
incuriosito:
- http://www.gao.gov/assets/670/669434.pdf
Se ho capito correttamente, i report richiesti sono 36 e riguardano la
pianificazione strategica, la pianificazione capitale e degli investimenti,
la sicurezza IT, l'acquisizione e integrazione dei sistemi IT e altre
iniziative. Solo 4 di questi sono reputati utili e riguardano la
pianificazione strategica e la pianificazione capitale e degli investimenti.
Tra i report "moderatamente significativi" si trovano quelli sulle
"significative debolezze di sicurezza" e sulle "metriche di sicurezza IT".
Perché la sicurezza è "moderatamente significativa"? In parte, sul report si
legge che si tratta di report con dati ridondanti l'uno con gli altri o con
dati da inserire manualmente da diverse fonti. In parte immagino che molte
misure non siano ritenute effettivamente significative e questo è uno dei
problemi della sicurezza: si può misurare il numero di incidenti e poco più.
Il resto serve solo a dare un'illusione di controllo "oggettivo".
Nessun commento:
Posta un commento