In azienda il cloud "annebbia" le strategie di sicurezza

IL REPORT

Ernst & Young: meno di un terzo delle imprese ha attuato programmi di IT risk management legati alla nuvola

di Federica Meta
In azienda l’It risk management dedicato alle tecnologie emergenti non decolla. A scattare la fotografia il 13° studio annuale Global Information Security Survey di Ernst & Young, secondo cui meno di un terzo delle aziende globali ha attuato un programma ad hoc in questo senso:, solo un’azienda su dieci considera l’analisi dei nuovi trend IT come un’attività molto importante da svolgere da parte della funzione di Information Security. Funzione messa a rischio, per il 60% delle 1600 imprese censite in tutto il mondo, soprattutto dal ricorso a fornitori di servizi esterni e l’adozione da parte delle aziende di nuove tecnologie come il cloud computing, i social network e il Web 2.0

“L’evoluzione tecnologica ha favorito l’incremento nell’uso di dispositivi mobili tra i dipendenti con modi apparentemente infiniti di connettersi e interagire con i colleghi, i consumatori ed i clienti – spiega Raoul Savastano, Partner Ernst & Young e responsabile della Solution Ict Security - Questo progresso rappresenta per l’IT un’enorme opportunità per apportare benefici significativi alle imprese, ma nuove tecnologie comportano anche nuovi rischi. E’ fondamentale che le aziende non solo individuino i rischi ma agiscano in modo da evitarli”.
Oltre la metà dei partecipanti allo studio ha dichiarato che l’aumento dell’uso di dispositivi mobili tra i dipendenti rappresenta una sfida importante per l’efficacia delle iniziative di information security a causa della loro grande diffusione, che consente a chiunque di accedere e distribuire le informazioni aziendali in qualunque momento e ovunque si trovino. A questo proposito per quasi due terzi degli intervistati (64%) il livello di consapevolezza sulla sicurezza da parte dei dipendenti è riconosciuto come una sfida fondamentale.

“Aumenta la ‘mobile workforce’ e di conseguenza anche il livello di rischio per le aziende – puntualizza Fabio Merello, Partner Ernst & Young e responsabile del Dipartimento IT Risk and Assurance Services -. Oltre all’implementazione di nuove soluzioni tecnologiche ed alla reingegnerizzazione dei flussi informativi, le aziende devono impegnarsi a rendere consapevoli i dipendenti sui rischi. Training efficaci e regolari in materia di sicurezza sono un fattore critico di successo per le aziende che cercano di stare al passo con uno scenario in continua evoluzione.”
Motivo per cui la metà dei partecipanti ha pianificato per l’anno prossimo maggiori investimenti in processi e soluzioni di data leakage prevention, un aumento di sette punti percentuali rispetto allo scorso anno. Per affrontare i nuovi rischi potenziali, il 39% sta apportando modifiche alle policy aziendali, il 29% sta implementando tecniche di crittografia e il 28% sta attuando maggiori controlli sulla gestione dell’identificazione degli utenti e degli accessi ai sistemi informativi aziendali.

Per la prima volta la continuità delle risorse IT critiche è stata identificata dagli intervistati fra i primi cinque rischi per le aziende. Una maggiore mobilità e la mancanza di controlli sui dispositivi end-user possono provocare problemi quando si cerca di garantire in modo efficace ed efficiente la continuità aziendale e di implementare soluzioni di disaster recovery. La continuità dei servizi IT è stata identificata dal 50% dei rispondenti come un’area di crescente investimento ed in particolare in Italia dove tale percentuale sale quasi al 60%.

Entrando nel dettaglio delle tecnologie, lo studio rileva che i servizi di cloud computing vengono adottati sempre più spesso: il 23% degli intervistati sta attualmente utilizzando servizi di questo tipo ed un ulteriore 15% sta pianificando di adottarli entro i prossimi dodici mesi. In Italia il trend di adozione del cloud computing è lentamente in crescita, dal momento che solo il 15% dei partecipanti sta già utilizzando tali servizi e solo il 10% ne prevede l’adozione nel corso del prossimo anno. Il 52% dei partecipanti ritiene che uno dei principali rischi legato al cloud computing è la perdita di confidenzialità delle informazioni, mentre il 39% ha identificato anche il rischio di perdita di visibilità sui dati aziendali. Secondo il sondaggio, la certificazione esterna dei fornitori di cloud computing aumenterebbe la fiducia nei servizi erogati per l’85% del campione; il 43% ha dichiarato inoltre che la certificazione dovrebbe essere basata su standard prestabiliti e il 22% ritiene opportuno l’accreditamento degli enti di certificazione.

Discorso analogo per i social network. Molte società stanno sviluppando infrastrutture ed applicazioni che supportano l’utilizzo dei social media in azienda, ma ancora poche ne hanno analizzato l’impatto in termini di sicurezza ed hanno avviato anche programmi di sensibilizzazione del personale: solo il 34% dei partecipanti include nei programmi di formazione anche gli aggiornamenti sui rischi associati all’utilizzo dei social network.
La restrizione dell’uso dei social network è una soluzione che ha un successo limitato ed anzi può causare ulteriori comportamenti indesiderati; il 45% dei partecipanti ha indicato che ha proibito o limitato l’utilizzo dei sistemi di posta elettronica e di instant messaging per lo scambio di informazioni aziendali critiche (indicato a livello italiano solo dal 28% degli intervistati).

04 Novembre 2010