Un ulteriore conferma della mancanza di cultura sulla Information Security, la sicurezza dei dati e dei sistemi informatici, arriva da un nuovo studio realizzato dal Ponemon Institute e sponsorizzato da Websense.
La ricerca "Roadblocks, Refresh, & Raising the Human Security IQ", che ha coinvolto circa 5.000 professionisti IT a livello mondiale, ha raggiunto risultati scoraggianti: in particolare, in Italia si riscontra una difficile relazione tra i responsabili aziendali e quelli della sicurezza.
È quasi paradossale, considerando che a rischio ci sono asset aziendali come i brevetti o i dati dei clienti, ma il 30% dei team di cyber security non parla mai con i dirigenti in merito alla sicurezza.
Dall'altro lato, però, c'è il 70% che lo fa, ma quasi un quarto di questi (il 22%) affronta l'argomento solo una volta all'anno e un 16% ogni sei mesi. Insomma, solo un 4% dei responsabili informa i manager sullo stato della sicurezza ogni settimana.
Un confronto periodico sulla sicurezza è basilare
È evidente che se non sono gli stessi manager o imprenditori a preoccuparsi della propria azienda e della sua sicurezza c'è poco da sperare sulla qualità delle implementazioni. Infatti, emergono altri dati sconfortanti: solo il 44% dei responsabili italiani della sicurezza ritiene adeguati gli investimenti in personale qualificato e tecnologie efficaci per portare avanti gli obiettivi aziendali in termini di security.
Addirittura circa un terzo degli intervistati (32%) revisionerebbe completamente i sistemi di sicurezza installati in azienda, se avesse a disposizione le risorse necessarie. Peggio ancora: quasi la metà (48%) si dice spesso delusa dal livello di protezione della soluzione di sicurezza a disposizione. Per il 51%, peraltro, il furto dei dati potrebbe essere causato da un cambiamento del vendor di sicurezza, sostengono gli autori dello studio.
Sembra delinearsi una situazione di stallo, in cui gli attacchi APT e la fuoriuscita di informazioni riservate sono le principali preoccupazioni dei professionisti della sicurezza IT.
Secondo Larry Ponemon, presidente e fondatore del Ponemon Institute: "Queste preoccupazioni si manifestano perché credono che la propria tecnologia abbia bisogno di una revisione e che ci sia un divario crescente nella condivisione delle conoscenze e delle risorse tra i professionisti della sicurezza IT e lo staff dirigenziale".
Fortunatamente, guarda al positivo Ponemon, c'è un terzo degli intervistati italiani (31%) che sta pianificando importanti investimenti e miglioramenti delle proprie difese informatiche nei prossimi 12 mesi.
Ma prima dei sistemi, sarebbe opportuno cambiare mentalità, perché senza un approccio strategico non si potranno mai effettuare investimenti soddisfacenti, soprattutto perché non saranno correlati al valore di quanto si deve proteggere.
Ci vogliono policy adeguate e capacità di esecuzione
Lo studio, del resto, evidenzia alcuni dati sul QI della sicurezza umana:
il 41% delle aziende non forma i propri dipendenti in merito alla sicurezza informatica, mentre il 31% è stato sottoposto a un processo di creazione di modelli nel loro ruolo attuale. Tra questi, quasi tutti (94%) lo hanno trovato importante in termini di gestione dei rischi informatici
Secondo i professionisti di sicurezza i tre principali eventi che potrebbero obbligare i dirigenti a destinare budget superiori volti a garantire la sicurezza informatica sono: furto della proprietà intellettuale (69%), perdita di fatturato a causa di un downtime del sistema (51%) e data breach che coinvolgono i dati dei clienti (49%)
La ricerca ha rivelato un gap nelle conoscenze e nelle risorse disponibili all'interno delle aziende, determinando una maggiore vulnerabilità e il rischio superiore di furto dei dati.
Una nota finale sulla metodologia adottata: per il report "Roadblocks, Refresh, & Raising the Human Security IQ", in Italia il Ponemon Institute ha coinvolto 250 professionisti IT e addetti alla sicurezza IT con una media di 13 anni di esperienza nel settore. Più in generale, nel resto del mondo sono stati contattati i professionisti IT con un'esperienza di circa 10 anni provenienti da 15 Paesi: Australia, Brasile, Canada, Cina, Francia, Germania, Hong Kong, India, Italia, Messico, Paesi Bassi, Singapore, Svezia, Regno Unito e Stati Uniti.
I risultati ottenuti a livello mondiale evidenziano che le aziende sono d'accordo nel dover risolvere il divario di comunicazione tra i team di sicurezza e i dirigenti per proteggersi contro gli attacchi avanzati data steal.