La maggior parte delle società (67%) deve affrontare crescenti minacce nell’ambito dell’Information Security, ma più di un terzo (37%) non possiede le informazioni necessarie in tempo reale sui rischi informatici che permetterebbero di contrastare il fenomeno, percentuale che aumenta fino al 56% in Italia. Questo è quanto emerso da una recente ricerca EY che ha coinvolto oltre 1.800 CIO, CISO e Information Security Executive di 60 paesi nel mondo.
Le aziende non possiedono la necessaria reattività, il budget e le competenze che consentano di mitigare le vulnerabilità conosciute e di prepararsi ad affrontare i rischi informatici. A livello globale, il 43% degli intervistati afferma che il budget dedicato all’Information Security da parte della propria società rimarrà approssimativamente lo stesso nei prossimi 12 mesi, nonostante le crescenti minacce. Il dato è in leggero miglioramento rispetto al 2013, quando il 46% degli intervistati dichiarò di non prevedere modifiche al budget. Un trend confermato in Italia, in cui il 50% degli intervistati ha dichiarato che il proprio budget non subirà variazioni nel corso del prossimo anno.
Oltre la metà del campione globale (53%), e il 37% di quello italiano, sostiene che la mancanza di risorse qualificate rappresenti uno dei principali ostacoli ai progetti di Information Security, e solo il 5% delle aziende ha dichiarato di possedere un team dedicato all’analisi delle minacce informatiche. Risultati analoghi rispetto a quanto emerso nel 2013, quando il 50% del campione globale, il 27% in Italia, aveva segnalato una carenza di risorse qualificate e solo il 4% aveva dichiarato di possedere un team di analisti dedicati.
Nel contesto della gestione dei rischi connessi al cyber – crime, le principali vulnerabilità sono rappresentate da “Dipendenti negligenti o inconsapevoli” (38%), “Controlli e architetture di sicurezza non aggiornati” (35%) e “Cloud computing” (17%). Una percentuale rilevante di intervistati italiani (29%) identifica inoltre l’utilizzo del “Mobile computing” tra le principali vulnerabilità.
Le tre principali minacce sono invece rappresentate da “Furto di informazioni finanziarie” (28%), “Interruzione dell’operatività o compromissione dell’immagine aziendale” (25%), e da “Furto di proprietà intellettuali o dati” (20%). In Italia gli intervistati hanno inoltre manifestato preoccupazioni relative a “Dipendenti interni scontenti” e “Vulnerabilità non ancora note (zero-day)”.
“Le aziende potranno sviluppare un’efficace strategia di rischio per il futuro solo se capiranno come anticipare il cyber-crime. – ha dichiarato Fabio Cappelli, Partner EY e Responsabile dei servizi IT Risk & Security – Gli attacchi possono causare danni di ampia portata – non solo finanziari, ma anche al brand e alla reputazione e la perdita di vantaggio competitivo e di non conformità alle normative. Le società devono passare da un atteggiamento reattivo a proattivo, trasformandosi così da target ad avversari per i criminali informatici. Sono ancora poche le aziende che dimostrano una conoscenza adeguata delle componenti fondamentali della cyber-security. Ulteriori dati preoccupanti sono rappresentati dalla mancanza di commitment interno, di procedure e pratiche ben definite, e dal fatto che non sia previsto un Security Operations Center all’interno della maggior parte delle aziende che hanno partecipato alla survey. Al di là delle minacce interne, le aziende devono tenere in considerazione l’ecosistema del proprio business e come i rapporti con fornitori e terze parti possano influenzare l’approccio alla cyber-security. È solo incrementando il livello di maturità in ambito cyber-security che le aziende possono beneficiare degli investimenti fatti a riguardo. Ponendo delle solide basi e assicurandosi che i programmi adottati siano in grado di adattarsi ai cambiamenti, le società possono contrastare proattivamente il cyber-crime preparandosi alle minacce prima che si manifestino”.
