Il 72% degli intervistati percepisce un livello di rischio crescente legato a minacce esterne
Secondo la quattordicesima edizione annuale dell’indagine Global Information Security Survey di Ernst & Young, nella corsa verso la “digitalizzazione” del business attraverso l’adozione di nuove tecnologie e l’affermazione del cloud computing e dei social media, cresce sempre più all’interno delle organizzazioni globali il divario fra le esigenze di business e la capacità di affrontare le nuove e complesse minacce alla sicurezza.
L’indagine, che ha coinvolto 1700 aziende a livello globale e più di 50 a livello italiano, rileva che il 72% del campione riconosce un aumento del livello di rischio dovuto a minacce esterne. Nonostante questo, solo circa un terzo degli intervistati ha aggiornato le proprie strategie di sicurezza informatica durante l’ultimo anno.
Con l’80% delle aziende che oggi adotta o sta prendendo in considerazione di adottare dispositivi mobili entro il prossimo anno e il 61% che fa la stessa cosa in relazione ai servizi di cloud computing, la minaccia di violazioni della sicurezza è passata in secondo piano rispetto alla corsa per adeguarsi rapidamente ai cambiamenti di scenario.
Raoul Savastano, Partner Ernst & Young e Responsabile della Solution ICT Risk & Security ha commentato: “Sempre di più il business oggi poggia sul software e sull’erogazione online dei servizi. I dati sono ovunque. Di fronte all’abbattimento delle barriere, ai servizi di tipo cloud e ai modelli di business nel cloud, le aziende si chiedono sempre più come rispondere ai nuovi rischi e se sia il caso di rivedere le proprie strategie”.
“L’attenzione deve spostarsi da adeguamenti pensati per il breve termine ad un approccio olistico più integrato con obiettivi strategici a lungo termine”.
Finanziamenti
E’ incoraggiante che il 59% degli intervistati abbia in programma di aumentare la spesa in sicurezza informatica per i prossimi 12 mesi. Tuttavia, solo il 51% degli intervistati ha dichiarato di avere una strategia di Information Security formalizzata.
Gli intervistati hanno citato il cloud computing come priorità su cui investire per il prossimo anno. In generale, per il secondo anno consecutivo, la business continuity risulta essere la priorità da sostenere finanziariamente.
Tablet e smartphone
Il ricorso a tablet e smartphone figura al secondo posto nella classifica delle sfide tecnologiche considerate come prioritarie e più della metà degli intervistati la reputa comunque difficile o molto difficile. Modifiche alle policy così come la definizione di programmi di sensibilizzazione sono le due principali misure adottate per affrontare i rischi legati alla nuova tecnologia mobile. Il ricorso a tecnologie e software per la sicurezza, tuttavia, è ancora limitato: ad esempio nemmeno la metà (47%) delle imprese utilizza tecniche crittografiche.
Costruire la fiducia nel cloud
Nonostante i servizi cloud risultino molto interessanti, la maggior parte delle aziende non ha ben chiare le implicazioni della loro adozione e si sforza sempre di più per capire gli impatti e i rischi correlati. Nel 2011 il 48% degli intervistati reputa il cloud computing come sfida difficile o molto difficile e più della metà non ha ancora messo a punto nessun controllo per il contenimento dei rischi conseguenti. La misura maggiormente adottata è una più rigida supervisione del processo di gestione dei contratti con i fornitori di servizi cloud, ma anche questa viene praticata solo dal 20% degli intervistati, evidenziando un livello di fiducia probabilmente eccessivo.
“In questa situazione di non chiarezza, molte aziende sembrano prendere decisioni non informate, da un lato passando prematuramente al cloud senza considerare in maniera adeguata i rischi ad esso associati, dall’altro rinunciando del tutto a prendere questa strada.
Molte delle numerose aziende che hanno adottato il cloud lo hanno fatto, tuttavia, con una certa riluttanza”.
Quasi il 90% degli intervistati è favorevole ad una certificazione esterna e il 45% ha dichiarato che questa dovrebbe essere basata su standard condivisi.
“Sebbene si stia lavorando per raggiungere questo obiettivo, non basta affidarsi a soggetti esterni per affrontare tutti i rischi legati al cloud computing”, ha dichiarato Savastano. “Questi rischi potrebbero comportare un cambiamento significativo nel modo di operare delle aziende e dovrebbero essere gestiti da appropriati processi e procedure di gestione dei rischi”.
Social media
La maggior parte degli intervistati (72%) ha affermato che gli attacchi esterni sono stati il rischio principale per le loro aziende. Questi attacchi possono essere alimentati da informazioni ottenute attraverso i social media, con l’invio di messaggi di phishing mirati a individui specifici.
Per affrontare i rischi potenziali legati all’uso dei social media, le organizzazioni sembrano seguire una linea dura. Più della metà degli intervistati (53%) ha dichiarato infatti di aver bloccato l’accesso ad alcuni siti piuttosto che gestire il cambiamento tramite l’implementazione di misure a livello aziendale.
Priorità per le aziende
L’indagine dimostra che solo il 12% degli intervistati porta all’attenzione della direzione aziendale il tema della sicurezza informatica e solo il 49% del campione dichiara che la funzione interna di sicurezza soddisfa le esigenze dell’organizzazione.
Savastano ha concluso: “E’ necessaria una risposta pragmatica e proattiva piuttosto che una semplice reazione. L’Information Security deve essere valorizzata maggiormente dal board aziendale con una strategia chiaramente definita che supporti lo sviluppo del business per il cloud così come per il resto. La maggior parte delle aziende deve fare ancora tanta strada affinché tutto ciò diventi una realtà”.
“Per gestire i rischi IT in maniera efficiente, le aziende devono avere una più ampia e completa visione dei possibili rischi legati all’Information Technology. Questo approccio olistico aiuterà ad identificare e gestire le sfide ed i rischi IT attuali così come quelli che evolveranno in futuro”.
