Osservatorio: Information Security Management - (76 - pagine)


Nel nuovo Rapporto dell’Osservatorio Information Security Management verranno illustrati i risultati ottenuti nel corso della Ricerca 2009. In particolare, gli obiettivi della Ricerca possono essere così riassunti:

  • analizzare i trend emergenti del mondo ICT Security in termini di configurazione organizzativa, posizionamento e dimensionamento delle unità organizzative coinvolte e budget dedicato;
  • definire le possibili tipologie di ICT Risk Analysis esistenti, confrontando il settore bancario, storicamente più sensibile a questi temi, con altri settori quali Assicurativo, Automotive, Chimico, Farmaceutico, Servizi ICT, Telecomunicazioni, Utility;
  • analizzare gli aspetti metodologici e i diversi strumenti utilizzati per questa fondamentale fase dell’Information Security Management System;
  • valutare il grado di maturità e formalizzazione degli approcci utilizzati per l’ICT Risk Analysis, evidenziando trend e modelli ricorrenti, e approfondendo, anche alla luce di normative di riferimento, il rapporto tra ICT Security ed Enterprise Risk Management nel settore bancario.

 

Tra i principali risultati di quest’anno c’è sicuramente l’aver analizzato a fondo l’ICT Risk Analysis, definendo un framework di riferimento che possa essere di supporto al management per una pianificazione efficace degli interventi in ambito ICT Security, nonché l’aver approfondito la complessa relazione tra ICT Security ed Enterprise Risk Management, mettendo in luce le soluzioni organizzative emergenti ed evidenziandone opportunità e rischi. Sempre più, infatti, l’ICT Security va oggi pensata e gestita come un elemento trasversale dell’organizzazione e una leva strategica che può avere un impatto rilevante sulle strategie dell’impresa.

 

La Ricerca ha coinvolto più di un centinaio tra CIO, CISO e Risk Manager tramite case study e Survey estensiva. In particolare, mediante 15 approfonditi studi di caso del settore Banking si sono individuate alcune best practice che hanno permesso di porre in luce i diversi approcci all’ICT Risk Analysis, il loro contributo alla pianificazione degli interventi nell’ambito dell’ICT Security, nonché la relazione tra ICT Security ed Enterprise Risk Management. Per validare ed estendere alcuni dei principali risultati emersi dalle interviste, sono state erogate 2 Survey estensive.
Survey ai CIO: il questionario è stato erogato a oltre 400 CIO di grandi imprese, con l’obiettivo di analizzare l’organizzazione dell’ICT Security, gli strumenti di governance utilizzati e i diversi approcci all'ICT Risk Analysis.
Survey ai CISO: il questionario è stato erogato a oltre 70 CISO del settore Banking, con l’obiettivo di analizzare i diversi approcci all'ICT Risk Analysis e il loro ruolo nell'ambito dell'Enterprise Risk Management.

 

La Ricerca 2009 è stata realizzata in collaborazione con ICT Institute del Politecnico di MIlano e con il supporto di IBM, KPMG e Symantec.

 

 

 

Indice dei contenuti

 

 

Introduzione

 

Executive Summary

 

1. La rilevanza dell’ICT Security

  • La governance strategica dell’ICT Security
  • Il punto di vista dei Chief Information Officer

 

2. L’ICT Risk Analysis: approcci e metodologie

  • Un framework di riferimento per la categorizzazione delle attività di ICT Risk Analysis
  • Le principali evidenze del settore Banking
  • Oltre il Banking: i risultati degli altri settori

 

3. L’ICT Security e l’Enterprise Risk Management nel Banking: un rapporto in continua trasformazione

  • Il nuovo approccio al Risk Management
  • L’integrazione tra ICT Security ed Enterprise Risk Management: i risultati della Ricerca

 

Nota metodologica