Studio
Ernst & Young: gli investimenti in Information Security sono in aumento
Potenziali
danni al brand e alla reputazione aziendale favoriscono gli investimenti in
Information Security. Più dell’85% degli intervistati a livello
globale ha definito significativo il danno d’immagine derivante da incidenti
legati alla sicurezza informatica. In Italia, questo risultato è ampiamente
confermato dal 90% dei soggetti coinvolti.
Dall’ultima edizione
dello studio Ernst & Young 2008 Global Information Security, intitolato
“Moving beyond compliance”, è emerso come un numero crescente
di aziende riconosca l’esistenza di una relazione fra la sicurezza delle informazioni
e la reputazione e solidità del proprio marchio. La maggior parte dei
soggetti coinvolti ritiene che un incidente legato alla sicurezza produrrebbe
un impatto sulla reputazione e sul marchio dell’azienda di gran lunga maggiore
che non sul fatturato; l’85% degli intervistati ha, infatti, definito “significativo”
il danno alla reputazione e al brand, rispetto al 72% che ha messo in luce il
possibile impatto in termini di perdita di ricavi. A seguire, vengono citate
dal 68% delle aziende le ripercussioni derivanti da possibili sanzioni normative.
Tale risultato è ampiamente confermato anche a livello italiano con ben
il 90% degli intervistati che è preoccupato dalla potenziale perdita
di immagine derivante da problemi collegati alla sicurezza delle informazioni.
Fabio Merello,
Partner Ernst & Young, responsabile del Dipartimento Technology and Security
Services, ha commentato: “Un marchio e una reputazione aziendale solida
richiedono anni per essere costruiti, ma la loro distruzione può avvenire
in pochissimo tempo anche a causa di un solo incidente legato alla sicurezza.
Basti considerare la copertura stampa che fa seguito a incidenti di questo tipo,
che testimonia quanto essi possano essere devastanti nei confronti della reputazione
aziendale. Negli ultimi anni la maggior parte delle innovazioni nel campo delle
soluzioni per la sicurezza delle informazioni è stata dettata da esigenze
legate alla conformità normativa. Oggi la volontà di proteggere
il marchio e la reputazione rappresenta elemento motivante per numerose aziende,
spingendole ad andare oltre l’essere semplicemente in regola dal punto di vista
normativo”.
Inoltre, l’indagine,
che ha coinvolto circa 1.400 senior executive in oltre 50 Paesi, tra cui una
trentina a livello italiano, ha rivelato come le imprese aumentino gli investimenti
nelle soluzioni di Information Security e come sempre più organizzazioni
stiano adottando standard di sicurezza internazionali. Oltre i due terzi degli
intervistati (67%) hanno affermato che la propria azienda ha implementato una
serie di controlli atti a rafforzare la tutela dei dati personali.
Merello ha aggiunto:
“Nell’insieme i risultati di questa edizione della ricerca sono incoraggianti,
nonostante vi siano comunque alcune aree chiave, come per esempio le minacce
derivanti dall’interno dell’azienda, la gestione della privacy e
le relazioni con terze parti, che necessitano di una maggiore focalizzazione
e, di conseguenza, di un incremento degli investimenti”.
Gli investimenti
sono destinati a salire
A fronte di un
momento difficile per alcune delle maggiori economie mondiali, il 50% degli
intervistati ha asserito di prevedere un incremento degli investimenti dedicati
alle soluzioni per la sicurezza. Solo il 5%, al contrario, diminuirà
i budget attuali. Particolarmente positivo è il dato italiano: solo il
3% degli intervistati prevede una riduzione del budget dedicato alla sicurezza
informatica.
Raoul Savastano,
Partner Ernst & Young e Responsabile dell’ICT Security all’interno
del Dipartimento Technology and Security Services, ha così commentato:
“A nostro avviso le aziende sanno bene che eventuali decurtazioni dei
budget destinati alla sicurezza produrrebbero un effetto negativo sulle percezioni
degli stakeholder. Molti inoltre ritengono che le minacce e gli attacchi in
questo ambito tendano ad aumentare durante una fase di incertezza economica.
Resta il fatto che le decisioni circa la destinazione degli investimenti saranno
delicate. Non è sufficiente, infatti, finanziare ulteriori soluzioni
tecniche, come per esempio l’implementazione di sistemi di crittografia.
Spesso sono gli individui l’anello debole della catena, e attualmente il 50%
degli intervistati individua nella mancanza di consapevolezza all’interno
della propria organizzazione la criticità principale da affrontare in
ambito di Information Security. Questo aspetto è particolarmente sentito
a livello italiano, dove il 65% degli intervistati valuta la sensibilizzazione
del personale come elemento su cui investire nell’immediato futuro. Le
aziende devono mettere in pratica piani operativi dedicati alla sicurezza delle
informazioni per sviluppare iniziative di formazione e di sensibilizzazione
e per adottare tecniche di test ancora più sofisticate”.
Terze parti
sotto i riflettori
Il ricorso all’utilizzo
di terze parti e all’outsourcing è in aumento, e le aziende si
stanno muovendo in questo senso per adottare alcune misure focalizzate sulla
salvaguardia delle informazioni, anche se molto resta ancora da fare. Solo il
45% delle imprese intervistate prevede specifici requisiti per la sicurezza
delle informazioni nei contratti stipulati con terze parti. Il dato italiano
è di poco inferiore, con il 42% degli intervistati che adotta adeguate
misure contrattuali per la protezione dei dati. Inoltre quasi un terzo delle
aziende a livello mondiale invece non verifica o non valuta il modo in cui i
contraenti tutelino le proprie informazioni.
Savastano ha infine
concluso: “Esiste una quantità crescente di incidenti documentati
legati alla perdita dei dati che coinvolgono terze parti e outsourcer: questo
testimonia quanto la sicurezza delle informazioni deve essere ‘portatile’. Diventa
pertanto fondamentale riuscire a proteggere e monitorare costantemente le informazioni
all’interno dell’intera supply chain”.
Lo studio completo
è disponibile su richiesta all’indirizzo e-mail EY.InformationSecurity@it.ey.com.
Il sondaggio
Lo studio Ernst
& Young 2008 Information Security Survey è stato realizzato grazie
al supporto dei clienti Ernst & Young di oltre 50 Paesi. La ricerca è
stata condotta fra maggio e agosto 2008. I risultati sono stati raccolti mediante
interviste rivolte agli executive di circa 1.400 aziende appartenenti a tutti
i principali settori economici.
