In azienda l’It risk management dedicato alle tecnologie
emergenti non decolla. A scattare la fotografia il 13° studio
annuale Global Information Security Survey di Ernst & Young,
secondo cui meno di un terzo delle aziende globali ha attuato un
programma ad hoc in questo senso:, solo un’azienda su dieci
considera l’analisi dei nuovi trend IT come un’attività molto
importante da svolgere da parte della funzione di Information
Security. Funzione messa a rischio, per il 60% delle 1600 imprese
censite in tutto il mondo, soprattutto dal ricorso a fornitori di
servizi esterni e l’adozione da parte delle aziende di nuove
tecnologie come il cloud computing, i social network e il Web
2.0
“L’evoluzione tecnologica ha favorito l’incremento nell’uso
di dispositivi mobili tra i dipendenti con modi apparentemente
infiniti di connettersi e interagire con i colleghi, i consumatori
ed i clienti – spiega Raoul Savastano, Partner Ernst & Young e
responsabile della Solution Ict Security – Questo progresso
rappresenta per l’IT un’enorme opportunità per apportare
benefici significativi alle imprese, ma nuove tecnologie comportano
anche nuovi rischi. E’ fondamentale che le aziende non solo
individuino i rischi ma agiscano in modo da evitarli”.
Oltre la metà dei partecipanti allo studio ha dichiarato che
l’aumento dell’uso di dispositivi mobili tra i dipendenti
rappresenta una sfida importante per l’efficacia delle iniziative
di information security a causa della loro grande diffusione, che
consente a chiunque di accedere e distribuire le informazioni
aziendali in qualunque momento e ovunque si trovino. A questo
proposito per quasi due terzi degli intervistati (64%) il livello
di consapevolezza sulla sicurezza da parte dei dipendenti è
riconosciuto come una sfida fondamentale.
“Aumenta la ‘mobile workforce’ e di conseguenza anche il
livello di rischio per le aziende – puntualizza Fabio Merello,
Partner Ernst & Young e responsabile del Dipartimento IT Risk and
Assurance Services -. Oltre all’implementazione di nuove
soluzioni tecnologiche ed alla reingegnerizzazione dei flussi
informativi, le aziende devono impegnarsi a rendere consapevoli i
dipendenti sui rischi. Training efficaci e regolari in materia di
sicurezza sono un fattore critico di successo per le aziende che
cercano di stare al passo con uno scenario in continua
evoluzione.”
Motivo per cui la metà dei partecipanti ha pianificato per
l’anno prossimo maggiori investimenti in processi e soluzioni di
data leakage prevention, un aumento di sette punti percentuali
rispetto allo scorso anno. Per affrontare i nuovi rischi
potenziali, il 39% sta apportando modifiche alle policy aziendali,
il 29% sta implementando tecniche di crittografia e il 28% sta
attuando maggiori controlli sulla gestione dell’identificazione
degli utenti e degli accessi ai sistemi informativi aziendali.
Per la prima volta la continuità delle risorse IT critiche è
stata identificata dagli intervistati fra i primi cinque rischi per
le aziende. Una maggiore mobilità e la mancanza di controlli sui
dispositivi end-user possono provocare problemi quando si cerca di
garantire in modo efficace ed efficiente la continuità aziendale e
di implementare soluzioni di disaster recovery. La continuità dei
servizi IT è stata identificata dal 50% dei rispondenti come
un’area di crescente investimento ed in particolare in Italia
dove tale percentuale sale quasi al 60%.
Entrando nel dettaglio delle tecnologie, lo studio rileva che i
servizi di cloud computing vengono adottati sempre più spesso: il
23% degli intervistati sta attualmente utilizzando servizi di
questo tipo ed un ulteriore 15% sta pianificando di adottarli entro
i prossimi dodici mesi. In Italia il trend di adozione del cloud
computing è lentamente in crescita, dal momento che solo il 15%
dei partecipanti sta già utilizzando tali servizi e solo il 10% ne
prevede l’adozione nel corso del prossimo anno. Il 52% dei
partecipanti ritiene che uno dei principali rischi legato al cloud
computing è la perdita di confidenzialità delle informazioni,
mentre il 39% ha identificato anche il rischio di perdita di
visibilità sui dati aziendali. Secondo il sondaggio, la
certificazione esterna dei fornitori di cloud computing
aumenterebbe la fiducia nei servizi erogati per l’85% del
campione; il 43% ha dichiarato inoltre che la certificazione
dovrebbe essere basata su standard prestabiliti e il 22% ritiene
opportuno l’accreditamento degli enti di certificazione.
Discorso analogo per i social network. Molte società stanno
sviluppando infrastrutture ed applicazioni che supportano
l’utilizzo dei social media in azienda, ma ancora poche ne hanno
analizzato l’impatto in termini di sicurezza ed hanno avviato
anche programmi di sensibilizzazione del personale: solo il 34% dei
partecipanti include nei programmi di formazione anche gli
aggiornamenti sui rischi associati all’utilizzo dei social
network.
La restrizione dell’uso dei social network è una soluzione che
ha un successo limitato ed anzi può causare ulteriori
comportamenti indesiderati; il 45% dei partecipanti ha indicato che
ha proibito o limitato l’utilizzo dei sistemi di posta
elettronica e di instant messaging per lo scambio di informazioni
aziendali critiche (indicato a livello italiano solo dal 28% degli
intervistati).