La sicurezza informatica di un’azienda? È minacciata dagli ex
dipendenti. È la fotografia scattata dallo studio Ernst & Young
2009 Global Information Security Survey, secondo cui “le
ritorsioni da parte di dipendenti che hanno di recente lasciato il
posto di lavoro e la mancanza di adeguati budget destinati alla
sicurezza stanno diventando la maggiore preoccupazione per il
management dell’IT”.
L’ indagine, che ha coinvolto circa 1.900 senior executive in
più di 60 Paesi, ha rilevato come il 75% degli intervistati sia
preoccupato per possibili reazioni da parte dei dipendenti che
hanno lasciato da poco il proprio posto di lavoro. A questo
proposito “il 42% degli intervistati sta cercando di capire i
rischi potenziali legati a questo problema mentre il 26% sta già
attuando delle misure per limitarli – si legge nel report -.
Questa situazione è confermata anche a livello italiano dove il
60% degli intervistati, si dice preoccupato dalle possibili minacce
provenienti dagli ex dipendenti”
“Con l’economia ancora in fase di recessione, i dipendenti
licenziati possono avere dei risentimenti nei confronti dei loro ex
datori di lavoro e reagire con modalità diverse, che possono avere
conseguenze sull’ordinaria gestione dell’azienda – spiega
Fabio Merello, Partner Ernst & Young e Responsabile del
Dipartimento IT Risk and Assurance -. Sempre di più i sistemi IT
sono diventati un bersaglio frequente dei dipendenti ed è anche
molto diffusa la sottrazione dei dati. E’ essenziale che le
imprese portino avanti specifiche iniziative di analisi dei rischi
per identificare la potenziale esposizione e per mettere in atto
adeguate misure di mitigazione”. A cominciare
dall’assegnazione
di budget consistenti all’Information security.
“Trovare budget adeguati all’Information Security, continua a
rappresentare una sfida per i responsabili della sicurezza: il 50%
degli intervistati (il 45% a livello italiano) l’ha, infatti,
posizionata come una sfida “alta” o “significativa”, un
consistente incremento del 17% rispetto al 2008- specfica Ernst &
Young -. Questo dato è particolarmente sorprendente alla luce del
fatto che il 40% degli intervistati ha dichiarato di aver
pianificato un aumento dei propri investimenti annuali in
Information Security, sul totale delle spese, e il 52% ha
pianificato di mantenere lo stesso livello di investimento. Tale
situazione è più che confermata anche a livello italiano dove
solo il 5% degli intervistati ha dichiarato di voler ridurre gli
investimenti in sicurezza”
“L’Information Security richiede oggi molti più investimenti,
perché le aziende devono stare al passo con uno scenario che sta
diventando sempre più minaccioso, dopo un avvio troppo a lungo
rimandato – rimarca Mereello -. In ogni caso, l’Information
Security non è immune da pressioni economiche esterne e il
management dell’IT ha bisogno di migliorare l’efficacia e
l’efficienza dei processi operativi investendo il minimo
possibile”.
Lo studio ha evidenziato inoltre come la conformità alle normative
sia una delle principali priorità per i responsabili
dell’Information Security e continua ad essere un driver
importante per migliorare la gestione della sicurezza in azienda:
il 55% degli intervistati ha risposto che le spese per adeguarsi
alle normative hanno subito un incremento che va da “moderato”
a “significativo” all’interno delle spese complessive
dedicate all’Information Security, mentre solo il 6% degli
intervistati pianifica di spendere meno nei prossimi 12 mesi per
iniziative di compliance. A livello italiano l’attenzione alla
compliance normativa è ancora più elevata e ben il 77% degli
intervistati ha dichiarato che sono cresciuti notevolmente i costi
di sicurezza per adeguarsi ai requisiti imposti da normative o
specifiche regolamentazioni di settore.
“Le normative nazionali e i regolamenti di settore hanno avuto
un impatto evidente sulle aziende che hanno adottato un approccio
più strutturato all’Information Security – spiega Raoul
Savastano, Partner Ernst & Young e Responsabile della Solution ICT
Security Da una parte, la buona notizia è che diventare conformi
sta cambiando in meglio le policy e le procedure in materia di
sicurezza, dall’altra molte organizzazioni vedono ancora la
compliance come un sotto-prodotto piuttosto che il driver
principale dell’Information Security.
Un altro aspetto da sottolineare è come la protezione dei dati sia
diventata prioritaria per i responsabili dell’Information
Security. Oltre il 40% degli intervistati ha evidenziato come
l’adozione di soluzioni di Data Loss Prevention sia una delle
prime tre azioni da attuare nei prossimi 12 mesi. Tali soluzioni
consistono in una combinazione di strumenti e processi per
identificare, monitorare e proteggere i dati e le informazioni
critiche per l’azienda.
A tal proposito uno dei risultati più inattesi è quante poche
aziende stiano cifrando i dati presenti nei computer portatili dei
loro dipendenti. Solo il 41% degli intervistati li sta attualmente
cifrando e solo il 17% ha in programma di farlo l’anno prossimo;
in Italia la percentuale di aziende che cifrano i dati nei computer
portatili scende addirittura al 26%. Questo risultato è
sorprendente sia per il fatto che il numero delle violazioni di
sicurezza che si sono verificate a causa della perdita o dei furti
di PC portatili è in costante aumento, sia perchè la tecnologia
è ormai facilmente accessibile ed economica, con impatto sugli
utenti durante l’implementazione relativamente basso, condizioni
che non dovrebbero più costituire una barriera all’adozione di
tali soluzioni.
“La nostra indagine dimostra che i livelli di rischio interno ed
esterno continuano ad aumentare. La gestione dei rischi relativi
all’Information Security richiede un approccio che sia flessibile
e mirato alle esigenze della propria azienda per proteggere al
meglio le informazioni critiche- conclude Savastano -. Solo
cercando di comprendere l’uso delle informazioni all’interno
dei processi critici di business, un’azienda (e in particolare la
sua funzione dedicata all’Information Security), può cominciare
davvero a gestire le sue necessità in materia di sicurezza.”