Secondo un’indagine di Ernst & Young, il 57% delle imprese italiane aumenterà i budget in sicurezza informatica nel corso del 2005, anche se poco meno di un terzo degli intervistati si dice pronto a investire adeguatamente nella formazione dei propri dipendenti.
Le imprese non sono ancora preparate a difendersi efficacemente dagli attacchi informatici. Questo, almeno, è quanto rivela l’undicesima edizione dello studio annuale di Ernst & Young "Global Information Security Survey". C’è, in generale, una maggiore consapevolezza rispetto al passato dei rischi connessi alle minacce informatiche provenienti dall’interno delle organizzazioni, ma i responsabili delle aziende sono ancora restii a intraprendere azioni preventive. Oltre il 70% delle 1.233 aziende interpellate all’interno di 51 Paesi non prevede, infatti, iniziative di addestramento o programmi di sensibilizzazione dei dipendenti sulle problematiche legate alla sicurezza di procedure e informazioni. Spiccano, all’interno dell’indagine, i dati relativi alle aziende italiane. Nel nostro Paese si registra, infatti, un buon livello di consapevolezza in merito all’importanza della sicurezza informatica: il 59% degli intervistati la ritiene determinante per raggiungere gli obiettivi di business e il 32% valuta come molto efficace l’attività svolta internamente in tema di sicurezza. Da sottolineare che, in Italia, le funzioni che si occupano di sicurezza It riportano per il 26% al Chief information officer (Cio) dell’azienda, mentre per il 19% al Chief executive officer (Ceo). Il dato dimostra la tendenza a considerare la sicurezza informatica un requisito fondamentale per l’efficienza globale dell’impresa. Tuttavia, nel 32% dei casi, la reportistica inerente policy e incidenti viene presentata ai vertici dell’azienda soltanto su richiesta specifica. Solo il 14% delle aziende fornisce abitualmente, una volta al mese o più di frequente, tali informazioni. Nel Belpaese, la sicurezza informatica è considerata una tematica che richiede regole a livello complessivo nell’azienda. Il 55% degli intervistati ritiene, infatti, che "centralizzazione" sia il termine che meglio descrive le regole che la riguardano. A livello di gestione, tuttavia, lo studio sottolinea la frequente migrazione a modelli di business decentralizzati, grazie a contratti di outsourcing e accordi con terze parti: in particolare, circa il 63% degli intervistati italiani afferma di aver delocalizzato la gestione della sicurezza It addirittura fuori dei confini dello Stato. Di conseguenza, appare oggi per queste aziende ancora più difficile mantenere il controllo sulla sicurezza delle informazioni nonché, per il management aziendale, avere una corretta percezione dei rischi cui le imprese sono esposte. Le aziende tendono troppo spesso a sottovalutare i pericoli che possono arrivare dall’interno dell’organizzazione. Forte è l’attenzione posta sulle minacce esterne e, in particolare, al pericolo dei virus informatici. Gli investimenti tecnologici si concentrano, infatti, in prevalenza, su firewall e protezioni antivirus, mentre poche realtà si preoccupano di dedicare risorse alla sensibilizzazione e alla formazione del personale. "Mentre l’attenzione del pubblico resta focalizzata sugli attacchi esterni – spiega Fabio Merello, responsabile Technology and Security Risk Services di Ernst & Young – le aziende subiscono danni a volte gravi derivanti da cattiva condotta, omissioni, leggerezze o da prassi che violano le regole interne. Molti incidenti di origine interna non vengono adeguatamente trattati o evidenziati e le organizzazioni non affrontano in modo adeguato le problematiche relative alla sicurezza informatica finché non si verifica un incidente significativo".
Manca la cultura
Un ulteriore elemento di interesse evidenziato dallo studio riguarda la spesa in sicurezza It nel nostro Paese dove, secondo il 34% circa degli intervistati, le risorse economiche messe in campo per la gestione della sicurezza informatica nel 2005 rimarranno allo stesso livello del 2004, mentre per il 57% il budget è destinato ad aumentare. La notizia appare confortante soprattutto in considerazione del fatto che gli stessi intervistati lamentano oggi, nel 73% dei casi, proprio la restrizione del budget quale maggiore limite per l’applicazione di efficaci provvedimenti legati alla sicurezza informatica all’interno della propria impresa. La mancanza di consapevolezza da parte degli utenti finali costituisce, invece, un limite per il 61% degli intervistati. "È necessario riservare maggiori energie nel creare una cultura più attenta alla sicurezza che parta direttamente dal vertice – sottolinea Morello -. È possibile trasformare l’attuale approccio alla secuirty considerandolo un modo per guadagnare maggior vantaggio competitivo e preservare il valore degli azionisti, piuttosto che un costo inevitabile. Tuttavia, questa trasformazione deve essere portata avanti attraverso un cambiamento di mentalità da parte dei Ceo e dell’alta dirigenza. Tutti devono attivarsi per far evolvere le competenze del proprio personale che, spesso, rappresenta l’elemento più vulnerabile".
