Allarme security, in azienda il pericolo viene dagli ex dipendenti

L'ANALISI

Ernst & Young: “Le ritorsioni da parte di lavoratori che hanno lasciato l'impiego e la mancanza di adeguati budget destinati alla sicurezza sono la maggiore preoccupazione per il management dell’IT”

di Federica Meta
La sicurezza informatica di un’azienda? È minacciata dagli ex dipendenti. È la fotografia scattata dallo studio Ernst & Young 2009 Global Information Security Survey, secondo cui “le ritorsioni da parte di dipendenti che hanno di recente lasciato il posto di lavoro e la mancanza di adeguati budget destinati alla sicurezza stanno diventando la maggiore preoccupazione per il management dell’IT”.

L’ indagine, che ha coinvolto circa 1.900 senior executive in più di 60 Paesi, ha rilevato come il 75% degli intervistati sia preoccupato per possibili reazioni da parte dei dipendenti che hanno lasciato da poco il proprio posto di lavoro. A questo proposito “il 42% degli intervistati sta cercando di capire i rischi potenziali legati a questo problema mentre il 26% sta già attuando delle misure per limitarli – si legge nel report -. Questa situazione è confermata anche a livello italiano dove il 60% degli intervistati, si dice preoccupato dalle possibili minacce provenienti dagli ex dipendenti”

“Con l’economia ancora in fase di recessione, i dipendenti licenziati possono avere dei risentimenti nei confronti dei loro ex datori di lavoro e reagire con modalità diverse, che possono avere conseguenze sull’ordinaria gestione dell’azienda – spiega Fabio Merello, Partner Ernst & Young e Responsabile del Dipartimento IT Risk and Assurance -. Sempre di più i sistemi IT sono diventati un bersaglio frequente dei dipendenti ed è anche molto diffusa la sottrazione dei dati. E’ essenziale che le imprese portino avanti specifiche iniziative di analisi dei rischi per identificare la potenziale esposizione e per mettere in atto adeguate misure di mitigazione”. A cominciare dall’assegnazione
di budget consistenti all’Information security.

“Trovare budget adeguati all’Information Security, continua a rappresentare una sfida per i responsabili della sicurezza: il 50% degli intervistati (il 45% a livello italiano) l’ha, infatti, posizionata come una sfida “alta” o “significativa”, un consistente incremento del 17% rispetto al 2008- specfica Ernst & Young -. Questo dato è particolarmente sorprendente alla luce del fatto che il 40% degli intervistati ha dichiarato di aver pianificato un aumento dei propri investimenti annuali in Information Security, sul totale delle spese, e il 52% ha pianificato di mantenere lo stesso livello di investimento. Tale situazione è più che confermata anche a livello italiano dove solo il 5% degli intervistati ha dichiarato di voler ridurre gli investimenti in sicurezza”

“L’Information Security richiede oggi molti più investimenti, perché le aziende devono stare al passo con uno scenario che sta diventando sempre più minaccioso, dopo un avvio troppo a lungo rimandato – rimarca Mereello -. In ogni caso, l’Information Security non è immune da pressioni economiche esterne e il management dell’IT ha bisogno di migliorare l’efficacia e l’efficienza dei processi operativi investendo il minimo possibile”.

Lo studio ha evidenziato inoltre come la conformità alle normative sia una delle principali priorità per i responsabili dell’Information Security e continua ad essere un driver importante per migliorare la gestione della sicurezza in azienda: il 55% degli intervistati ha risposto che le spese per adeguarsi alle normative hanno subito un incremento che va da “moderato” a “significativo” all’interno delle spese complessive dedicate all’Information Security, mentre solo il 6% degli intervistati pianifica di spendere meno nei prossimi 12 mesi per iniziative di compliance. A livello italiano l’attenzione alla compliance normativa è ancora più elevata e ben il 77% degli intervistati ha dichiarato che sono cresciuti notevolmente i costi di sicurezza per adeguarsi ai requisiti imposti da normative o specifiche regolamentazioni di settore.

 “Le normative nazionali e i regolamenti di settore hanno avuto un impatto evidente sulle aziende che hanno adottato un approccio più strutturato all’Information Security - spiega Raoul Savastano, Partner Ernst & Young e Responsabile della Solution ICT Security Da una parte, la buona notizia è che diventare conformi sta cambiando in meglio le policy e le procedure in materia di sicurezza, dall’altra molte organizzazioni vedono ancora la compliance come un sotto-prodotto piuttosto che il driver principale dell’Information Security.

Un altro aspetto da sottolineare è come la protezione dei dati sia diventata prioritaria per i responsabili dell’Information Security. Oltre il 40% degli intervistati ha evidenziato come l’adozione di soluzioni di Data Loss Prevention sia una delle prime tre azioni da attuare nei prossimi 12 mesi. Tali soluzioni consistono in una combinazione di strumenti e processi per identificare, monitorare e proteggere i dati e le informazioni critiche per l’azienda.

A tal proposito uno dei risultati più inattesi è quante poche aziende stiano cifrando i dati presenti nei computer portatili dei loro dipendenti. Solo il 41% degli intervistati li sta attualmente cifrando e solo il 17% ha in programma di farlo l’anno prossimo; in Italia la percentuale di aziende che cifrano i dati nei computer portatili scende addirittura al 26%. Questo risultato è sorprendente sia per il fatto che il numero delle violazioni di sicurezza che si sono verificate a causa della perdita o dei furti di PC portatili è in costante aumento, sia perchè la tecnologia è ormai facilmente accessibile ed economica, con impatto sugli utenti durante l’implementazione relativamente basso, condizioni che non dovrebbero più costituire una barriera all’adozione di tali soluzioni.

“La nostra indagine dimostra che i livelli di rischio interno ed esterno continuano ad aumentare. La gestione dei rischi relativi all’Information Security richiede un approccio che sia flessibile e mirato alle esigenze della propria azienda per proteggere al meglio le informazioni critiche- conclude Savastano -. Solo cercando di comprendere l’uso delle informazioni all’interno dei processi critici di business, un’azienda (e in particolare la sua funzione dedicata all’Information Security), può cominciare davvero a gestire le sue necessità in materia di sicurezza.”

11 Novembre 2009