Il dodicesimo Global Information Security Survey di Ernst & Young ha tracciato il profilo della sicurezza aziendale del 2009. I costi sono sempre un limite
Ernst & Young ha presentato nei giorni scorsi il dodicesimo Global Information Security Survey (GISS), uno dei più accreditati ed ascoltati rapporti sulla sicurezza informatica per grandi e medie aziende. Il rapporto si basa su questionari inviati a circa 1900 responsabili di sicurezza e sistemi informativi aziende fra il giugno e l’agosto scorsi e rappresentanti di realtà produttive dei principali continenti (29% Americhe, 29% Asia, 33% Europa, 9% Africa e Medio Oriente).
Il rapporto, che oltre ai dati contiene consigli e suggerimenti, può essere scaricato in formato Pdf direttamente dal sito della società di consulenza. È in inglese ed è gratuito.
I rischi
Una delle principali preoccupazioni delle aziende ha riguardato non tanto la protezione dei sistemi interni ma la protezione delle informazioni che sono gestite da diversi punti del perimetro informatico aziendale. Grazie alla diffusione delle tecnologie wireless e del mobile working, si è passati ad una concezione della sicurezza che E&Y definisce “centrata sull’informazione” e non sugli specifici dispositivi di sicurezza. Il 50% degli intervistati ha dichiarato che nei prossimi anni aumenterà la spesa per la gestione dei rischi delle informazioni aziendali.
La percezione dei rischi aziendali non è mutata di molto. Quasi la metà degli intervistati non ha notato nella propria organizzazione la crescita di particolari tipologie di attacchi. Tra coloro che hanno invece registrato la crescita di pericoli di sicurezza, al primo posto troviamo l'aumento di attacchi esterni, come ad esempio phishing o azioni di hacking di siti Web, al secondo posto quello di attacchi interni, abusi degli impiegati, furto di informazioni e così via.
Sempre nell’ambito della percezione dei rischi, il 75% degli intervistati ha dichiarato di essere preoccupato per possibili reazioni da parte dei dipendenti che hanno lasciato da poco il proprio posto di lavoro. A questo proposito, il 42% degli intervistati sta cercando di capire i rischi potenziali legati a questo problema mentre il 26% sta già attuando delle misure per limitarli. Questa situazione è confermata anche a livello italiano dove il 60% degli intervistati, si dice preoccupato dalle possibili minacce provenienti dagli ex dipendenti.
Le infrastrutture di sicurezza
Dal punto di vista delle infrastrutture di sicurezza, solo il 27% degli intervistati ha dichiarato di aver implementato all’interno della propria azienda un sistema di gestione della sicurezza (information security management system, ISMS), mentre il 56%, la grande maggioranza degli intervistati, ha dichiarato che un tale sistema non è ancora stato adottato
I costi, soprattutto in un periodo di recessione economica, sono uno dei principali limiti all’adozione delle infrastrutture di sicurezza adeguate. L’adeguamento del budget alla crescita dei pericoli è infatti segnalato, dal 50 per cento degli intervistati, come una sfida di livello “alto” o “significativo” (nel 2008 era del 33 per cento), il livello più alto dopo la ricerca di risorse e la sensibilità dell’azienda a tali temi. Il budget e le risorse rappresentano, in altre parole, il limite maggiore nella adozione di adeguati strumenti di sicurezza informatica, limite consolidato dalla crisi economica degli ultimi due anni.
Le tecnologia
Una sezione del rapporto riguarda l’adozione di nuove tecnologie nella gestione sicura delle risorse informative aziendali. Al primo posto delle tecnologie che le aziende hanno dichiarato di voler adottare nei prossimi 12 mesi vi sono quelle per mitigare i rischi della gestione delle informazioni aziendali, al secondo posto vi sono tecnologie Data Loss Prevention (DLP), al terzo la formazione degli impiegati per sensibilizzarli e aumentarne le competenze. Tra le tecnologie attualmente adottate da queste organizzazioni, al primo posto figura l’implementazione di sistemi di filtraggio e monitoraggio dei contenuti che passano sui server aziendali, al secondo l’adozione di sistemi di autenticazione più rigidi, al terzo la crittografia dei computer portatili. Molto bassi, agli ultimi posti, la crittografia dei dati dei computer desktop e la gestione digitale dei diritti d’autore.