Key4biz

Information security, obiettivo primario per le aziende. Migliora la sicurezza, ma l’Italia investe ancora poco

Mondo


Ernst & Young ha annunciato i risultati della decima edizione annuale del Global Information Security Survey, che ha coinvolto circa 1.300 senior executive in oltre 50 Paesi, tra cui 40 provenienti dall’Italia, per esaminare come la sicurezza informatica sia attualmente affrontata dalle aziende.

 

E’ emerso che sempre più organizzazioni riconoscono che la sicurezza informatica possa costituire più di una semplice protezione del patrimonio aziendale.

Il raggiungimento dell’efficienza operativa e informatica nonché l’incremento delle performance globali di business si stanno, infatti, rivelando come obiettivi critici per le aziende. Nonostante le iniziative basate sulla cosiddetta compliance si confermino il driver primario nell’Information Security, circa la metà (45%) degli intervistati a livello globale ha indicato il raggiungimento degli obiettivi di business come uno dei tre fattori determinanti per intraprendere iniziative dedicate alla sicurezza informatica.

In Italia, però, la percezione di questo obiettivo è risultata leggermente inferiore, con soltanto il 35% del campione che si è espresso in modo analogo.

 

In questo contesto, i responsabili della sicurezza informatica cercano di trovare un equilibrio fra il tradizionale ruolo di gestione del rischio e il focus sempre maggiore sull’incremento delle performance di business: una sfida ancora più complessa se le funzioni di Information Security non sono veramente allineate al top management e ai processi decisionali strategici.

Ed un altro elemento di complicazione è la dichiarata carenza di risorse qualificate e competenti.

 

“Nell’ultimo decennio, abbiamo assistito alla crescita del ruolo della sicurezza informatica e molte aziende ora considerano questo aspetto come un fattore critico per il raggiungimento degli obiettivi di business”, ha affermato Fabio Merello, Partner Ernst & Young, responsabile del dipartimento Technology and Security Services.

Aggiungendo: “Da una migliore interazione con il top management aziendale e gli altri stakeholder aziendali può derivare un incremento sostanziale delle loro performance. Tale allineamento sta avendo impatto positivo sulla redditività complessiva, elevando l’Information Security da semplice funzione tecnologica a imperativo strategico. E le organizzazioni che non promuovono queste relazioni perdono l’opportunità di incrementare le loro attività di business”.

 

Dallo Studio è emerso che migliora l’allineamento della sicurezza informatica con la gestione del rischio organizzativo.

Oltre alla crescente attenzione nei confronti degli obiettivi di business, su scala globale, la sicurezza informatica risulta essere più integrata nella gestione generale del rischio, con 4 intervistati su 5 (82%) che confermano almeno un qualche livello di integrazione.

Il dato italiano del 2007 è di poco inferiore con il 76% che considera l’Information Security all’interno di una strategia di Risk Management.

Invece, il numero di aziende al mondo che favorisce un’integrazione totale fra sicurezza informatica e gestione efficace del rischio è praticamente raddoppiato rispetto allo scorso anno, passando dal 15% al 29%.

 

La sicurezza informatica è in grado di migliorare l’efficienza tecnologica e operativa.

Oltre due terzi (69%) dei partecipanti al sondaggio ritengono infatti che l’Information Security contribuisca a migliorare l’efficienza tecnologica e operativa: risultato nettamente in contrasto con quello degli anni passati, quando essa era considerata una vera e propria barriera. Analogo il risultato in Italia con il dato che si attesta al 65%.

 

La compliance continua a essere il driver primario dei miglioramenti della sicurezza informatica oltre che un elemento determinante per una gestione del rischio integrata.

Per il terzo anno consecutivo gli intervistati hanno indicato la compliance quale driver principale in ambito di Information Security (64% media internazionale, 67% in Italia).

Davvero positivo è che nell’82% dei casi (85% nel nostro Paese) si ritiene che la sicurezza informatica abbia acquisito maggiore rilievo proprio per il suo ruolo nell’ambito delle iniziative di conformità.

 

La privacy e la tutela dei dati sensibili sempre più rilevanti nello sviluppo della sicurezza informatica.

I fatti di cronaca relativi a furti di identità e perdita di dati personali hanno contribuito a innalzare presso gli utenti i livelli di consapevolezza nei confronti della protezione dei dati e, allo stesso tempo, il senso di responsabilità da parte di chi guida le aziende. Il 58% degli intervistati di questa decima edizione del report (54% in Italia) ha indicato la tutela della privacy e dei dati personali fra i primi tre driver, in aumento dunque rispetto al 41% del 2006.

 

La sicurezza informatica è comunque distante dal top management e dai processi decisionali strategici. Ma in Italia la situazione appare migliore.

Una separazione preoccupante persiste fra l’Information Security e il processo di decision-making, con oltre un terzo degli intervistati (32%) che afferma di non incontrare mai il proprio board o il comitato di verifica. E se si registra un maggiore coinvolgimento dei responsabili aziendali e divisionali, il ritmo con cui questo avviene è alquanto lento: la maggioranza degli intervistati rivela infatti che le riunioni si svolgono meno di una volta ogni trimestre. Ma il dato italiano è in controtendenza, con un maggior coinvolgimento del board o del comitato di verifica, visto che solo il 25% degli intervistati dichiara di non incontrarli mai, anche se rimane inferiore il coinvolgimento dei cosiddetti business leader (in Italia il 30%  afferma di non incontrarli, a fronte del dato internazionale del 21%).

 

Trovare risorse esperte e formate per l’implementazione di progetti di sicurezza informatica è la sfida più grande.

Oltre la metà degli intervistati ha affermato che, con l’espansione dei progetti di Information Security in ambito aziendale, l’insufficienza di personale qualificato è la sfida primaria da vincere affinché siano realizzabili al meglio. Un’opinione condivisa in Italia, dove il 49% delle aziende coinvolte ha rilevato la scarsa disponibilità di risorse adeguatamente formate.

Inoltre, il 60% degli intervistati ha dichiarato di affidare in outsourcing alcune attività di gestione della sicurezza informatica, dato che in Italia sale al 70%.

 

“Il nostro studio conferma come siano ancora numerose le aziende che faticano a trovare le risorse idonee a implementare le proprie iniziative di sicurezza”, ha detto ancora Fabio Merello.

“Ed è un problema difficilmente risolvibile a breve. Il management deve essere creativo nell’identificare valide soluzioni alternative: occorre rivolgere l’attenzione verso altre aree dell’azienda, ad esempio l’auditing interno, per colmare il fabbisogno di risorse, ma bisogna anche utilizzare le terze parti nel modo più produttivo e competitivo possibile”.

 

 

Sintesi degli altri principali risultati dello studio

 

Allineamento con il business

Driver

Gestione

Risorse

– i test di attacco e penetrazione: quest’anno 75% a livello globale a fronte del 30% nel 2006 (nel 2007, in Italia il dato è del 65%)

– la progettazione di soluzioni di sicurezza informatica: dato internazionale al 47% nel 2007 ( + 7% rispetto al 2006!) mentre in Italia la percentuale è del 57%

– la formazione del personale interno in questo ambito: 47%, cioè oltre il doppio rispetto al precedente 21%. E particolarmente positivo è il dato italiano: il 57% degli intervistati ha infatti dichiarato di ricorrere a partner esterni cui affidare la formazione delle risorse, che testimonia la particolare attenzione delle aziende italiane verso questo aspetto.

Exit mobile version