TradeManager Il portale italiano dedicato al Canale ICT
Secondo l’ultima indagine annuale realizzata da EY Global Information Security Survey, Get Ahead of Cybercrime, il 56% delle aziende in Italia non sanno gestire gli attacchi informatici
La maggior parte delle società (67%) deve affrontare crescenti minacce nell’ambito dell’Information Security, ma più di un terzo (37%) non possiede le informazioni necessarie in tempo reale sui rischi informatici che permetterebbero di contrastare il fenomeno, percentuale che aumenta fino al 56% in Italia. Questo è uno dei principali risultati dell’indagine annuale Global Information Security Survey, Get Ahead of Cybercrime realizzata da EY e che coinvolge oltre 1.800 CIO, CISO e Information Security Executive di 60 paesi nel mondo.
Le aziende non possiedono la necessaria reattività, il budget e le competenze che consentano di mitigare le vulnerabilità conosciute e di prepararsi ad affrontare i rischi informatici. A livello globale, il 43% degli intervistati afferma che il budget dedicato all’Information Security da parte della propria società rimarrà approssimativamente lo stesso nei prossimi 12 mesi, nonostante le crescenti minacce. Il dato è in leggero miglioramento rispetto al 2013, quando il 46% degli intervistati dichiarò di non prevedere modifiche al budget. Un trend confermato in Italia, in cui il 50% degli intervistati ha dichiarato che il proprio budget non subirà variazioni nel corso del prossimo anno.
Oltre la metà del campione globale (53%), e il 37% di quello italiano, sostiene che la mancanza di risorse qualificate rappresenti uno dei principali ostacoli ai progetti di Information Security, e solo il 5% delle aziende ha dichiarato di possedere un team dedicato all’analisi delle minacce informatiche. Risultati analoghi rispetto a quanto emerso nel 2013, quando il 50% del campione globale, il 27% in Italia, aveva segnalato una carenza di risorse qualificate e solo il 4% aveva dichiarato di possedere un team di analisti dedicati.
Nel contesto della gestione dei rischi connessi al cyber – crime, le principali vulnerabilità sono:
“Dipendenti negligenti o inconsapevoli” (38%), “Controlli e architetture di sicurezza non aggiornati” (35%) e “Cloud computing” (17%). Una percentuale rilevante di intervistati italiani (29%) identifica inoltre l’utilizzo del “Mobile computing” tra le principali vulnerabilità.
Le tre principali minacce sono: “Furto di informazioni finanziarie” (28%), “Interruzione dell’operatività o compromissione dell’immagine aziendale” (25%), e da “Furto di proprietà intellettuali o dati” (20%). In Italia gli intervistati hanno inoltre manifestato preoccupazioni relative a “Dipendenti interni scontenti” e “Vulnerabilità non ancora note (zero-day)”.
Cinque suggerimenti per contrastare i rischi emergenti:
- Reattività rispetto alle nuove minacce informatiche: la leadership dovrebbe considerare i rischi legati alla sicurezza informatica prioritari rispetto al core business, e avviare un processo decisionale dinamico che consenta di adottare velocemente azioni preventive;
- Percezione delle minacce informatiche: le società dovrebbero possedere grande consapevolezza rispetto ai rischi e alle minacce legate alla sicurezza informatica ed investire così su un adeguato sistema di cyber intelligence;
- Conoscenza delle proprie attività strategiche: necessario individuare gli asset di maggior valore per il proprio business e, di conseguenza, la maniera efficace per proteggerli dai rischi;
- Gestione della crisi: le società dovrebbero costantemente valutare le proprie capacità di risposta e gestione in caso di crisi;
- Aggiornamento: le tematiche di Cyber-security forensic rappresentano un importante componente del processo. Le organizzazioni dovrebbero studiare con attenzione i dati raccolti in situazioni di incidenti o attacchi, mantenere ed ampliare nuove relazioni e ridiscutere regolarmente la propria strategia.
