Mondo
Nonostante i pericoli per la sicurezza dei sistemi aumentino di giorno in giorno, le aziende dell¿Information Society non sono ancora preparate a contrastare potenti attacchi informatici.
Questa, quanto emerge dall”undicesima edizione dello studio Global Information Security Survey2004, condotto daErnst & Young su 1.233 realtà di 51 differenti Paesi, tra cui l¿Italia.
La ricerca evidenzia che, anche se le aziende sono ben consapevoli dei rischi informatici che corrono, non sono preparate a difendersi efficacemente.
E se in Italia la sensibilità è discreta, le aziende del nostro Paese tendono però a sottovalutare i pericoli errori o leggerezze che provengono non dall”esterno ma dall”interno della società.
Secondo la ricerca, oltre il 70% delle aziende campione, non prevedono iniziative di addestramento o programmi di sensibilizzazione dei dipendenti sulle problematiche legate alla sicurezza delle informazioni.
Dall”indagine emerge che la spesa It dedicata al settore non è destinata a crescere quest”anno più che nel 2003: solo 17 aziende su 100 hanno risposto diversamente.
Solamente nel 28% dei casi le aziende hanno posto come priorità nel 2004 attività di training interno in tema security e, parallelamente, solo il 20% dei CEO considera la sicurezza come una priorità. Eppure, per il 60% degli intervistati il comportamento scorretto degli utenti continua a rappresentare una seria minaccia.
Secondo l”indagine, la causa principale (72% di risposte affermative) di malfunzionamento dei sistemi è correlata all”hardware. E, nell”87% dei casi, si tratta, ancora una volta, di problemi di origine interna.
L”attenzione è generalmente posta sui pericoli provenienti dall”esterno (contaminazione da virus e worm, che preoccupa il 77% degli intervistati), mentre nel 24% dei casi si sono registrati incidenti interni.
Eppure, come sottolinea chi ha curato l”indagine, i rischi maggiori si corrono proprio per i comportamenti scorretti degli impiegati, causati dalla disattenzione o dall”ignoranza. Ma l”azienda ne rimane spesso all”oscuro.
¿Le aziende possono dare in gestione a terzi il loro lavoro, ma non possono anche cedere la responsabilità per la sicurezza¿, ha commentato Edwin Bennett, Global Director di Ernst & Young¿s Technology and Security Risk Services.
¿Meno di un terzo di queste aziende conducono delle verifiche sui loro fornitori IT per verificare l¿osservanza delle politiche di Information Security. Le altre basano il loro rapporto sulla fiducia. Le organizzazioni dovrebbero chiedere un più alto livello di sicurezza ai loro business partner¿.
Lo studio indica che le aziende rimangono concentrate sulle minacce provenienti dall¿esterno, come i virus, mentre quelle interne vengono continuamente sottovalutate.
Vengono spesi molti soldi per l¿acquisto di firewall e antivirus, ma si non si dà la giusta priorità ai danni che vengono prodotti direttamente all¿interno dell¿azienda, ¿¿cattiva condotta, omissioni, leggerezze o da prassi che violano le regole interne¿.
Dato che molti incidenti di origine interna non vengono adeguatamente trattati o evidenziati, le aziende spesso non sono coscienti del problema. Molte aziende non affrontano in modo adeguato le problematiche relative alla sicurezza informatica, finché non si verifica un incidente significativo.
Bennett sostiene che le aziende possono trasformare la loro visione delle Information Security, in un modo per guadagnare in competitività e preservare il valore degli azionisti, invece che considerarlo semplicemente come un costo necessario.
¿Comunque, questa trasformazione deve essere guidata da una visibile cambiamento da parte del CEO e del Cda. Al momento, solo il 20% delle aziende vedono l¿Information Security come una priorità per il CEO. La maggior parte di queste potrebbero e dovrebbero trasformare la capacità e la consapevolezza e tradurli in strumenti di difesa dagli attacchi degli insider¿, ha concluso Bennett.
Le aziende italiane presentano una buon livello di sicurezza informatica. Il 59% degli intervistati, stando allo studio, ritiene la sicurezza informatica determinante per raggiungere gli obiettivi di business dell”azienda e il 32% degli stessi valuta come molto efficace l”attività svolta internamente in tema di sicurezza, mentre il 57% valuta l”operato sufficientemente efficace.
Da sottolineare, dice ancora la ricerca, le persone che in Italia che si occupano di sicurezza informatica riportano per il 26% al responsabile sistemi informatici (Chief Information Officer) dell”azienda, mentre per il 19% all”amministratore delegato, un dato questo che dimostra la tendenza a considerare la sicurezza informatica quale requisito fondamentale per l”efficienza globale dell”impresa.
Quanto alle spese per la sicurezza informatica nel nostro Paese, secondo il 34% circa degli intervistati, le risorse economiche messe in campo per la gestione della sicurezza nel 2005 rimarranno allo stesso livello del 2004, mentre per il 57% il budget è destinato ad aumentare.
© 2004 key4biz.it
