Il rapporto annuale di Ernst & Young evidenzia un maggiore allineamento delle politiche di sicurezza alle esigenze del business e incoraggia il ricorso ai partner esterni.
Sono dati interessanti quelli che emergono dall’indagine condotta da Ernst & Young presso 1.300 executive internazionali, con l’obiettivo di esaminare come la sicurezza It sia informata nel mondo delle imprese.
Il primo dato che emerge dalla Global Information Security Survey, giunta quest’anno alla decima edizione, è che i responsabili della sicurezza informatica sempre più spesso cercano di trovare un equilibrio fra il tradizionale ruolo di gestione del rischio e il focus sempre maggiore sull’incremento delle performance di business: una sfida che si rivela particolarmente complessa se le funzioni di Information Security non sono allineate al top management e ai processi decisionali strategici e se mancano risorse qualificate e competenti.
Complessivamente la sicurezza informatica risulta essere più integrata nella gestione generale del rischio (82% dei rispondenti) e il numero di aziende che favoriscono un’integrazione totale fra sicurezza informatica e gestione efficace del rischio è praticamente raddoppiato rispetto allo scorso anno, passando dal 15% al 29%.
Cambia la percezione: oltre due terzi (69%) dei partecipanti ritengono che l’Information Security contribuisca a migliorare l’efficienza tecnologica e operativa, in una netta inversione rispetto agli anni precedenti quando addirittura si parlava di barriera.
A livello di imprese, sicuramente la compliance continua a rappresentare uno dei driver principali in ambito di Information Security, ma lo studio sottolinea anche come i fatti di cronaca relativi a furti di identità e perdita di dati personali hanno contribuito a innalzare presso i singoli utenti i livelli di consapevolezza nei confronti della protezione dei dati e, allo stesso tempo, il senso di responsabilità da parte di chi guida le aziende.
Lo studio evidenzia tuttavia come continui a persistere una certa separazione tra Information Security e il processo di decision-making, con oltre un terzo degli intervistati (32%) che afferma di non incontrare mai il proprio board o il comitato di verifica.
Problematica è anche l’assenza di risorse adeguatamente formate. Un problema che, per altro, sembra difficilmente risolvibile nel breve periodo e che porta Ernst & Young a incoraggiare le imprese a utilizzare le terze parti nel modo più produttivo e competitivo possibile.
Attualmente, il 78% degli intervistati afferma di coinvolgere terze parti per supportare policy, procedure e standard (+12% rispetto al 2006).
E’ netto l’aumento del ricorso a terze parti per attività quali test di attacco e penetrazione, progettazione di soluzioni di sicurezza informatica, formazione del personale.
