Sicurezza informatica: poca attenzione agli insider. Studio Ernst & Young

di |

Mondo



Nonostante i pericoli per la sicurezza dei sistemi aumentino di giorno in giorno, le aziende dell¿Information Society non sono ancora preparate a contrastare potenti attacchi informatici.

Questa, quanto emerge dall”undicesima edizione dello studio Global Information Security Survey2004, condotto daErnst & Young su 1.233 realt&#224 di 51 differenti Paesi, tra cui l¿Italia.

La ricerca evidenzia che, anche se le aziende sono ben consapevoli dei rischi informatici che corrono, non sono preparate a difendersi efficacemente.

E se in Italia la sensibilit&#224 &#232 discreta, le aziende del nostro Paese tendono per&#242 a sottovalutare i pericoli errori o leggerezze che provengono non dall”esterno ma dall”interno della societ&#224.

Secondo la ricerca, oltre il 70% delle aziende campione, non prevedono iniziative di addestramento o programmi di sensibilizzazione dei dipendenti sulle problematiche legate alla sicurezza delle informazioni.

Dall”indagine emerge che la spesa It dedicata al settore non &#232 destinata a crescere quest”anno pi&#249 che nel 2003: solo 17 aziende su 100 hanno risposto diversamente.

Solamente nel 28% dei casi le aziende hanno posto come priorit&#224 nel 2004 attivit&#224 di training interno in tema security e, parallelamente, solo il 20% dei CEO considera la sicurezza come una priorit&#224. Eppure, per il 60% degli intervistati il comportamento scorretto degli utenti continua a rappresentare una seria minaccia.

Secondo l”indagine, la causa principale (72% di risposte affermative) di malfunzionamento dei sistemi &#232 correlata all”hardware. E, nell”87% dei casi, si tratta, ancora una volta, di problemi di origine interna.

L”attenzione &#232 generalmente posta sui pericoli provenienti dall”esterno (contaminazione da virus e worm, che preoccupa il 77% degli intervistati), mentre nel 24% dei casi si sono registrati incidenti interni.

Eppure, come sottolinea chi ha curato l”indagine, i rischi maggiori si corrono proprio per i comportamenti scorretti degli impiegati, causati dalla disattenzione o dall”ignoranza. Ma l”azienda ne rimane spesso all”oscuro.

¿Le aziende possono dare in gestione a terzi il loro lavoro, ma non possono anche cedere la responsabilit&#224 per la sicurezza¿, ha commentato Edwin Bennett, Global Director di Ernst & Young¿s Technology and Security Risk Services.

¿Meno di un terzo di queste aziende conducono delle verifiche sui loro fornitori IT per verificare l¿osservanza delle politiche di Information Security. Le altre basano il loro rapporto sulla fiducia. Le organizzazioni dovrebbero chiedere un pi&#249 alto livello di sicurezza ai loro business partner¿.

Lo studio indica che le aziende rimangono concentrate sulle minacce provenienti dall¿esterno, come i virus, mentre quelle interne vengono continuamente sottovalutate.

Vengono spesi molti soldi per l¿acquisto di firewall e antivirus, ma si non si d&#224 la giusta priorit&#224 ai danni che vengono prodotti direttamente all¿interno dell¿azienda, ¿¿cattiva condotta, omissioni, leggerezze o da prassi che violano le regole interne¿.

Dato che molti incidenti di origine interna non vengono adeguatamente trattati o evidenziati, le aziende spesso non sono coscienti del problema. Molte aziende non affrontano in modo adeguato le problematiche relative alla sicurezza informatica, finch&#233 non si verifica un incidente significativo.

Bennett sostiene che le aziende possono trasformare la loro visione delle Information Security, in un modo per guadagnare in competitivit&#224 e preservare il valore degli azionisti, invece che considerarlo semplicemente come un costo necessario.

¿Comunque, questa trasformazione deve essere guidata da una visibile cambiamento da parte del CEO e del Cda. Al momento, solo il 20% delle aziende vedono l¿Information Security come una priorit&#224 per il CEO. La maggior parte di queste potrebbero e dovrebbero trasformare la capacit&#224 e la consapevolezza e tradurli in strumenti di difesa dagli attacchi degli insider¿, ha concluso Bennett.

Le aziende italiane presentano una buon livello di sicurezza informatica. Il 59% degli intervistati, stando allo studio, ritiene la sicurezza informatica determinante per raggiungere gli obiettivi di business dell”azienda e il 32% degli stessi valuta come molto efficace l”attivit&#224 svolta internamente in tema di sicurezza, mentre il 57% valuta l”operato sufficientemente efficace.

Da sottolineare, dice ancora la ricerca, le persone che in Italia che si occupano di sicurezza informatica riportano per il 26% al responsabile sistemi informatici (Chief Information Officer) dell”azienda, mentre per il 19% all”amministratore delegato, un dato questo che dimostra la tendenza a considerare la sicurezza informatica quale requisito fondamentale per l”efficienza globale dell”impresa.

Quanto alle spese per la sicurezza informatica nel nostro Paese, secondo il 34% circa degli intervistati, le risorse economiche messe in campo per la gestione della sicurezza nel 2005 rimarranno allo stesso livello del 2004, mentre per il 57% il budget &#232 destinato ad aumentare.

&#169 2004 key4biz.it

Raffaella Natale

Leggi le altre notizie sull’home page di Key4biz