Dall’indagine condotta da NetConsulting, per conto di Ca, emerge una realtà nazionale più sensibile (ma non abbastanza) al tema sicurezza
Sondare l’approccio delle società italiane alla sicurezza, per meglio contestualizzare la sitazione di un mercato in fermento e poco omogeneo, è stato l’obiettivo che ha spinto la filiale nazionale di Ca a commissionare un’indagine a NetConsulting. Infatti, intervistando (tra giugno e ottobre 2006) i responsabili della sicurezza di 108 aziende (appartenenti ai diversi settori di mercato) con più di 500 dipendenti, è stato possibile analizzare quali sono gli strumenti di information security utilizzati, qual è l’approccio verso questa problematica e se è stata avviata una strategia di lungo periodo.
È, innanzitutto, emerso che in media il 64% del campione possiede una unità organizzativa aziendale dedicata alla sicurezza, con punte del 92% nella finanza, e che il top management è per l’80% coinvolto su questo tema. In merito all’adozione di strumenti per la gestione delle procedure di sicurezza (risposte multiple), l’89% ha policy di comportamento formalizzate, il 71% ha un piano di sicurezza completo, il 55% ha un business continuity plan e un 28% ha effettuato un’analisi del ritorno degli investimenti in sicurezza. Alla specifica domanda se sono state effettuate analisi del rischio, in media il 79% del campione ha risposto di sì, con picchi del 92% per la finanza, dell’89% di servizi e retail, mentre il valore più basso è stato il 65% dell’industria. Per quanto riguarda le soluzioni di gestione delle minacce, il 100% del panel si è dotato di antivirus, il 99% di firewall, l’81% di antispam, il 64% di antispyware e un 56% di intrusion detection: su questo fronte il settore più sensibile si è dimostrato quello di Tlc e media, che ha risposto il 100% in tutte le voci, tranne che nell’antispyware (83%).
Il campione non si è dimostrato particolarmente interessato alla gestione delle autenticazioni e degli accessi alle applicazioni aziendali, in quanto sul fronte directory (il repository in cui risiedono le identità aziendali e relative password) c’è stato un certo riscontro (69%), mentre le soluzioni di identity management sono scese al 48%, e di seguito l’access management (38%), il single sign on (37%), user e resource provisioning (32%), strong authentication basata su smart card (20%) e su soluzioni biometriche (7%).
Piuttosto bassa è risultata la sensibilità verso strumenti di security information management, i cosiddetti cruscotti che sono in grado di fornire una visione integrata di tutto quanto è legato alla sicurezza e di creare una correlazione tra causa ed effetto. Dai dati dell’indagine è emerso che in media solo il 27% del campione (con picchi del 50% per le Tlc e del 44% per i servizi) utilizza già questi strumenti, un 13% ne prevede l’utilizzo o è già in fase di implementazione, mentre per un 50% è un deciso no.
Tra chi ha avviato progetti in area sicurezza, vediamo che l’identity & access management ha coinvolto il 57% del panel, mentre a scendere il 33% è coinvolto con il threat management e il 28% con il security information management.
Gli stimoli a investire in sicurezza arrivano da più fronti, ma è significativo il fatto che in Italia per arrivare a ottenere certi risultati bisogna imporre delle regole: infatti l’81% del campione afferma di essere stato spinto a investire da compliance e normative (soprattutto per l’esigenza di rispondere al Testo Unico sulla privacy e a Basilea 2 per le banche). Per un 27% lo stimolo viene dal top management, che si rende conto dei danni conseguenti a eventuali vulnerabilità, un 24% è spinto dalle esigenze avvertite dagli utenti, e solo un 9% ammette di farlo perché ha subìto degli attacchi o ha avuto dei problemi specifici. Il dato è sicuramente più basso della realtà, in quanto in genere le aziende difficilmente ammettono di aver subito attacchi.
Invece i fattori che frenano gli investimenti, inferiori rispetto ai vantaggi, confermano quanto la sicurezza sia considerata una necessità. In media, per il 41%, i budget limitati sono i primi a essere chiamati in causa come freno a investire, seguiti dalla tendenza da parte del Cio di dare priorità ad altre tipologie di investimenti (20%), dalla difficoltà di mappare o rivedere tutti i processi (14%) e dalla scarsa comprensione da parte del top management dei danni che l’azienda potrebbe subire.
Infine, tra i vari dati presentati dalla ricerca di Ca, citiamo quello dell’incidenza sul budget It della spesa media in sicurezza (siveda la tabella): corrisponde a poco più di un milione, pari al 10% del budget, che però diventa una cifra irrisoria in settori come la Pubblica amministrazione locale e il retail (per entrambi è stato mediamente di 207.000 euro nel 2006), mentre in realtà quali le Tlc si arriva a cifre di gran lunga superiori (in media 4,4 milioni di euro nel 2006, con previsioni di 4,8 milioni nel 2007) pari a un 6/9% del budget It.
