• BitMat
  • CBR
  • Linea EDP
  • ITIS
  • Top Trade

Sicurezza e Privacy, a che punto siamo?

Pagina 1 di 2 »
privacy_sicurezza

di Redazione LineaEDP

Aumenta la consapevolezza sulla gestione della sicurezza e cresce del 7% il budget medio delle aziende, ma le scelte di spesa sono influenzate soprattutto da obblighi normativi. Ancora limitati gli investimenti di security in ambiti emergenti del digitale come cloud e mobile
, ,

Sono stati presentati a Milano i risultati della ricerca dell’Osservatorio Information Security & Privacy della School of Management del Politecnico di Milano, che ha coinvolto oltre 150 Chief Information Security Officer, Chief Security Officer e Chief Information Officer di grandi aziende italiane per indagare il contesto di riferimento, il budget dedicato, le principali aree di investimento e di interesse, le minacce e le principali fonti di attacco ed i ruoli e i meccanismi di governance.

I risultati
Cresce l’attenzione delle aziende sull’information security e la privacy, testimoniata da un aumento del 7% della spesa media dedicata negli ultimi mesi, con punte nei settori Media-Telco e Finance, seguiti da PA-Sanità, Utility e Servizi. Ma ad oggi solo il 19% delle grandi imprese dispone sia di consapevolezza e visione di lungo periodo sulla sicurezza, che di azioni e piani concreti con approcci tecnologici e ruoli organizzativi definiti, mentre il 48% è ad uno stadio iniziale di questo percorso. E così, mentre le minacce aumentano al ritmo del +30% nei primi 6 mesi del 2015 (dati Clusit), le strategie di information security faticano a tenere il passo dell’evoluzione delle tecnologie digitali e dei pericoli che ne possono derivare. Lo dimostrano le tipologie d’investimento delle aziende, che oggi si concentrano in particolare su ambiti come network security o business continuity/disaster recovery e ancora poco su trend emergenti del digitale come il mobile (priorità di investimento attuale nel 30% dei casi) e il cloud (7%), seppure riconosciuti di grande interesse in prospettiva.

Tuttavia nell’86% delle imprese la consapevolezza dell’importanza di una gestione dell’information security & privacy è cresciuta negli ultimi tre anni, fatto confermato anche dalla pianificazione del budget, che prevede nel 74% dei casi un’allocazione formale con orizzonte annuale o pluriennale, solo nel 26% un’allocazione non definita in cui le risorse sono stanziate all’occorrenza. In ogni caso, nel 58% delle organizzazioni le scelte di allocazione del budget sono fortemente influenzate dalle normative vigenti negli specifici settori.

Da dove arriva il pericolo
Le principali fonti di attacco riscontrate provengono da fonti esterne come le associazioni criminali (nel 58% dei casi) o gli hacktivist (46%), ma va riposta attenzione anche a quelle interne, come gli stessi lavoratori (49%) ed i consulenti aziendali (30%). Le minacce più diffuse negli ultimi due anni sono malware (80%), phishing (70%), spam (58%), attacchi ransomware (37%) e frodi (37%). Le principali vulnerabilità sono la consapevolezza dei collaboratori su policy e buone pratiche di comportamento (79%), la distrazione (56%), l’accesso in mobilità alle informazioni aziendali (45%) e la presenza di dispositivi mobili personali (33%): per queste ragioni circa un terzo delle grandi aziende ha subito una perdita o un furto di dati negli ultimi 12 mesi, trafugando per lo più informazioni operative interne, price sensitive, informazioni sui clienti o sui pagamenti. In questo quadro emerge la necessità di ruoli di responsabilità manageriale per le strategie di information security: le organizzazioni si stanno attrezzando, ma oggi solo il 42% delle grandi aziende può dire di aver formalizzato al proprio interno una figura di Chief Information Security Officer (CISO).

“Dalla ricerca emerge la consapevolezza della rilevanza di security e privacy tra le imprese italiane, ma anche la tendenza ad affrontare la tematica in modo ancora poco sistemico, mettendo a disposizione i budget necessari soprattutto sotto la spinta degli obblighi normativi – afferma Gabriele Faggioli, Responsabile scientifico dell’Osservatorio Information Security & Privacy –. Tra le aziende, risulta evidente il timore di attacchi che provengono anche dall’interno dell’azienda e dei rischi che discendono dalla scarsa cultura informatica del personale. Si nota sempre più anche il ‘peso’ delle tecnologie mobili che, sempre più diffuse, sono diventate un fattore rilevante di rischio. La trasformazione digitale delle imprese richiede oggi nuove tecnologie, modelli organizzativi, competenze e regole per garantire, insieme all’innovazione, la necessaria protezione degli asset informativi aziendali”.

“Nonostante il crescente interesse per l’information security, testimoniato dall’aumento pari al 7% del budget nelle grandi imprese, non è semplice maturare modelli in grado di rispondere all’innovazione digitale sempre più dirompente – dice Alessandro Piva, Direttore dell’ Osservatorio Information Security & Privacy – significa sviluppare consapevolezza strategici e definire meccanismi organizzativi ed approcci tecnologici: ad oggi solo il 19% delle grandi aziende si può definire matura su entrambe queste linee di azione. Vi è poi la necessità di definire ruoli di responsabilità manageriale per pianificare e mettere atto la strategia di information security. Di fronte a queste sfide, per tenere il passo con l’evoluzione delle tecnologie digitali, la velocità con cui mettere in atto strategie e progetti diventa sempre più fondamentale”.

Chief Information Security Officer, Data Protection Officer e policy: prosegui la lettura alla pagina seguente

© Riproduzione Riservata

I miei articoli

Seguici       •             |      Registrati