Mondo
Ernst & Young ha annunciato i risultati della decima edizione annuale del Global Information Security Survey, che ha coinvolto circa 1.300 senior executive in oltre 50 Paesi, tra cui 40 provenienti dall’Italia, per esaminare come la sicurezza informatica sia attualmente affrontata dalle aziende.
E’ emerso che sempre più organizzazioni riconoscono che la sicurezza informatica possa costituire più di una semplice protezione del patrimonio aziendale.
Il raggiungimento dell’efficienza operativa e informatica nonché l’incremento delle performance globali di business si stanno, infatti, rivelando come obiettivi critici per le aziende. Nonostante le iniziative basate sulla cosiddetta compliance si confermino il driver primario nell’Information Security, circa la metà (45%) degli intervistati a livello globale ha indicato il raggiungimento degli obiettivi di business come uno dei tre fattori determinanti per intraprendere iniziative dedicate alla sicurezza informatica.
In Italia, però, la percezione di questo obiettivo è risultata leggermente inferiore, con soltanto il 35% del campione che si è espresso in modo analogo.
In questo contesto, i responsabili della sicurezza informatica cercano di trovare un equilibrio fra il tradizionale ruolo di gestione del rischio e il focus sempre maggiore sull’incremento delle performance di business: una sfida ancora più complessa se le funzioni di Information Security non sono veramente allineate al top management e ai processi decisionali strategici.
Ed un altro elemento di complicazione è la dichiarata carenza di risorse qualificate e competenti.
“Nell’ultimo decennio, abbiamo assistito alla crescita del ruolo della sicurezza informatica e molte aziende ora considerano questo aspetto come un fattore critico per il raggiungimento degli obiettivi di business”, ha affermato Fabio Merello, Partner Ernst & Young, responsabile del dipartimento Technology and Security Services.
Aggiungendo: “Da una migliore interazione con il top management aziendale e gli altri stakeholder aziendali può derivare un incremento sostanziale delle loro performance. Tale allineamento sta avendo impatto positivo sulla redditività complessiva, elevando l’Information Security da semplice funzione tecnologica a imperativo strategico. E le organizzazioni che non promuovono queste relazioni perdono l’opportunità di incrementare le loro attività di business”.
Dallo Studio è emerso che migliora l’allineamento della sicurezza informatica con la gestione del rischio organizzativo.
Oltre alla crescente attenzione nei confronti degli obiettivi di business, su scala globale, la sicurezza informatica risulta essere più integrata nella gestione generale del rischio, con 4 intervistati su 5 (82%) che confermano almeno un qualche livello di integrazione.
Il dato italiano del 2007 è di poco inferiore con il 76% che considera l’Information Security all’interno di una strategia di Risk Management.
Invece, il numero di aziende al mondo che favorisce un’integrazione totale fra sicurezza informatica e gestione efficace del rischio è praticamente raddoppiato rispetto allo scorso anno, passando dal 15% al 29%.
La sicurezza informatica è in grado di migliorare l’efficienza tecnologica e operativa.
Oltre due terzi (69%) dei partecipanti al sondaggio ritengono infatti che l’Information Security contribuisca a migliorare l’efficienza tecnologica e operativa: risultato nettamente in contrasto con quello degli anni passati, quando essa era considerata una vera e propria barriera. Analogo il risultato in Italia con il dato che si attesta al 65%.
La compliance continua a essere il driver primario dei miglioramenti della sicurezza informatica oltre che un elemento determinante per una gestione del rischio integrata.
Per il terzo anno consecutivo gli intervistati hanno indicato la compliance quale driver principale in ambito di Information Security (64% media internazionale, 67% in Italia).
Davvero positivo è che nell’82% dei casi (85% nel nostro Paese) si ritiene che la sicurezza informatica abbia acquisito maggiore rilievo proprio per il suo ruolo nell’ambito delle iniziative di conformità.
La privacy e la tutela dei dati sensibili sempre più rilevanti nello sviluppo della sicurezza informatica.
I fatti di cronaca relativi a furti di identità e perdita di dati personali hanno contribuito a innalzare presso gli utenti i livelli di consapevolezza nei confronti della protezione dei dati e, allo stesso tempo, il senso di responsabilità da parte di chi guida le aziende. Il 58% degli intervistati di questa decima edizione del report (54% in Italia) ha indicato la tutela della privacy e dei dati personali fra i primi tre driver, in aumento dunque rispetto al 41% del 2006.
La sicurezza informatica è comunque distante dal top management e dai processi decisionali strategici. Ma in Italia la situazione appare migliore.
Una separazione preoccupante persiste fra l’Information Security e il processo di decision-making, con oltre un terzo degli intervistati (32%) che afferma di non incontrare mai il proprio board o il comitato di verifica. E se si registra un maggiore coinvolgimento dei responsabili aziendali e divisionali, il ritmo con cui questo avviene è alquanto lento: la maggioranza degli intervistati rivela infatti che le riunioni si svolgono meno di una volta ogni trimestre. Ma il dato italiano è in controtendenza, con un maggior coinvolgimento del board o del comitato di verifica, visto che solo il 25% degli intervistati dichiara di non incontrarli mai, anche se rimane inferiore il coinvolgimento dei cosiddetti business leader (in Italia il 30% afferma di non incontrarli, a fronte del dato internazionale del 21%).
Trovare risorse esperte e formate per l’implementazione di progetti di sicurezza informatica è la sfida più grande.
Oltre la metà degli intervistati ha affermato che, con l’espansione dei progetti di Information Security in ambito aziendale, l’insufficienza di personale qualificato è la sfida primaria da vincere affinché siano realizzabili al meglio. Un’opinione condivisa in Italia, dove il 49% delle aziende coinvolte ha rilevato la scarsa disponibilità di risorse adeguatamente formate.
Inoltre, il 60% degli intervistati ha dichiarato di affidare in outsourcing alcune attività di gestione della sicurezza informatica, dato che in Italia sale al 70%.
“Il nostro studio conferma come siano ancora numerose le aziende che faticano a trovare le risorse idonee a implementare le proprie iniziative di sicurezza”, ha detto ancora Fabio Merello.
“Ed è un problema difficilmente risolvibile a breve. Il management deve essere creativo nell’identificare valide soluzioni alternative: occorre rivolgere l’attenzione verso altre aree dell’azienda, ad esempio l’auditing interno, per colmare il fabbisogno di risorse, ma bisogna anche utilizzare le terze parti nel modo più produttivo e competitivo possibile”.
Sintesi degli altri principali risultati dello studio
Allineamento con il business
-
Circa il 40% degli intervistati, percentuale che giunge al 47% in Italia, ritiene la compliance un driver primario per l’integrazione tra sicurezza informatica ed attività di risk management
-
I responsabili della sicurezza informatica hanno una probabilità di incontrare, su base mensile, i responsabili dell’IT tre volte superiore a quella d’incontrare i responsabili aziendali e di business unit
Driver
-
L’85% ritiene importante la sicurezza informatica per favorire e realizzare iniziative strategiche. Il dato italiano si discosta: il 70% la considera un elemento in tal senso fondamentale
-
L’importanza di tutelare i dati personali sensibili è cresciuta notevolmente: il 58% degli intervistati a livello globale (41% nel 2006) e il 54% a livello italiano ha indicato questo aspetto come uno dei principali driver
-
Diminuisce in modo rilevante l’importanza attribuita a livello globale allo sviluppo di nuove tecnologie: dal 30% del 2006 al 14% di quest’anno. Il dato italiano del 2007 si attesta al 15%
Gestione
-
Il 78% degli intervistati afferma di coinvolgere terze parti per supportare policy, procedure e standard (+12% rispetto al 2006). In Italia l’inclinazione ad affidare in outsourcing la gestione globale della sicurezza informatica è inferiore, ma la percentuale di coloro che dichiarano farlo (69%) mostra la volontà del management aziendale di evolvere verso una progressiva esternalizzazione delle attività legate all’Information Security
-
Il 48% chiede alle terze parti di implementare proprie policy e procedure in ambito sicurezza informatica e privacy (+ 7% rispetto all’anno prima)
-
L’87% delle aziende (89% in Italia) dichiara di disporre di una funzione di sicurezza informatica ben chiara e definita
-
A livello globale, oltre il 60% delle aziende ritiene che le tecniche di self-assessment della sicurezza informatica sono uno strumento efficace per le divisioni IT e business. Il risultato italiano (54%) indica un loro crescente utilizzo da parte del comparto IT per attuare analisi precise sulle reali esigenze aziendali.
Risorse
-
La caccia alle risorse resta una sfida aperta e complessa, ma circa il 70% ha anche affermato che gli obblighi di adempimento a requisiti normativi in ambito IT hanno reso più semplice l’ottenimento delle risorse necessarie per altri progetti, attività o iniziative di sicurezza informatica
-
A giudizio degli intervistati, è netto l’aumento del ricorso a terze parti per:
– i test di attacco e penetrazione: quest’anno 75% a livello globale a fronte del 30% nel 2006 (nel 2007, in Italia il dato è del 65%)
– la progettazione di soluzioni di sicurezza informatica: dato internazionale al 47% nel 2007 ( + 7% rispetto al 2006!) mentre in Italia la percentuale è del 57%
– la formazione del personale interno in questo ambito: 47%, cioè oltre il doppio rispetto al precedente 21%. E particolarmente positivo è il dato italiano: il 57% degli intervistati ha infatti dichiarato di ricorrere a partner esterni cui affidare la formazione delle risorse, che testimonia la particolare attenzione delle aziende italiane verso questo aspetto.