Diverse le novità che emergono dall’edizione 2009 del Global Information Security Survey condotta dalla società di consulenza Ernst & Young con l’aiuto dei suoi clienti in tutto il mondo. In particolare, a questa indagine hanno risposto 1.900 senior esecutive in più di 60 Paesi, Italia inclusa.
“Con l’economia ancora in fase di recessione – spiega Fabio Merello, Partner Ernst & Young e Responsabile del Dipartimento IT Risk and Assurance – i dipendenti licenziati possono avere dei risentimenti nei confronti dei loro ex datori di lavoro e reagire con modalità diverse, che possono avere conseguenze sull’ordinaria gestione dell’azienda. Sempre di più i sistemi It sono diventati un bersaglio frequente dei dipendenti ed è anche molto diffusa la sottrazione dei dati. È essenziale che le imprese portino avanti specifiche iniziative di analisi dei rischi per identificare la potenziale esposizione e per mettere in atto adeguate misure di mitigazione”.
Un’altra sfida per i responsabili della sicurezza, rilevata dalla survey, è riuscire ad assegnare budget adeguati all’Information Security. Il 50% degli intervistati (il 45% a livello italiano) ha indicato questa scommessa come “alta” o “significativa”, con un rilevante aumento del 17% rispetto al 2008.
Secondo lo studio, la conformità alle normativa continua a rappresentare una delle principali priorità per i responsabili della Information Security. Il 55% del campione ha dichiarato che le spese per la compliance hanno subito un incremento che va da “moderato” a “significativo” all’interno delle spese complessive per la sicurezza. A livello italiano l’attenzione verso questo argomento risulta ancora più elevata: bel il 77% degli intervistati ha dichiarato che i costi sicurezza per adeguarsi ai requisiti imposti da normative o specifiche regolamentazioni di settore. Secondo Raoul Savastano, Partner Ernst & Young e Responsabile della Solution Ict Security, “le normative nazionali e i regolamenti di settore hanno avuto un impatto evidente sulle aziende che hanno adottato un approccio più strutturato all’Information Security. Da una parte, la buona notizia è che diventare conformi sta cambiando in meglio le policy e le procedure in materia di sicurezza, dall’altra molte organizzazioni vedono ancora la compliance come un sotto-prodotto piuttosto che il driver principale dell’Information Security”.
L’ultimo ma non meno importante elemento emerso dall’indagine è il non sempre ottimale utilizzo delle tecnologie per la sicurezza oggi disponibili. Oltre il 40% degli intervistati ha evidenziato come l’adozione di soluzioni di Data Loss Prevention (una combinazione di strumenti e processi per identificare, monitorare e proteggere i dati e le informazioni critiche per l’azienda)
sia una delle prime tre azioni da attuare nei prossimi dodici mesi. A oggi, però, solo il 41% delle aziende interpellate sta, per esempio, cifrando i dati nei computer portatili dei loro dipendenti. E solo il 17% ha in programma di farlo l’anno prossimo. In Italia la percentuale che cifrano i dati nei notebook scende addirittura al 26. Un dato che, sottolineano gli esperti di Information Security di Ernst & Young, è sorprendente sia perché il numero di violazioni di sicurezza che si sono verificate a causa della perdita o dei furti di Pc portatili p in costante aumento, sia perché la tecnologia per questo particolare tipo di Dlp è ormai facilmente accessibile ed economica.
Lo studio completo è disponibile gratuitamente su richiesta all’indirizzo email EY.InformationSecurity@it.ey.com.
