Symantec ha diffuso i risultati del proprio studio globale dal titolo "2010 State of Enterprise Security", dal quale emerge come il 42% delle aziende indichi la sicurezza al primo posto delle proprie preoccupazioni.
Non è certo un dato sorprendente, considerando che il 75% delle organizzazioni è stata vittima di attacchi informatici durante gli ultimi 12 mesi. Tali attacchi sono costati alle aziende una media di 2 milioni di dollari all’anno.
Gli intervistati hanno anche riferito che la sicurezza aziendale è diventata più difficile a causa delle carenze di personale, delle nuove iniziative IT che accentuano i problemi legati alla sicurezza e delle difficoltà legate alla conformità IT.
Lo studio condotto da Symantec nel mese di gennaio 2010 ha interessato CIO, CISO e responsabili IT di 2.100 aziende in 27 Paesi.
"Proteggere le informazioni è oggi più difficile che mai", ha sottolineato Giancarlo Marengo, Country Manager Symantec Italia. "Tuttavia, implementando blueprint efficaci per la sicurezza, indicati a proteggere infrastrutture e informazioni, applicando rigorose policy IT e gestendo i sistemi in maniera più efficiente, le aziende possono accrescere il loro margine competitivo nel moderno mondo dell’informazione".
Qui sotto le slide di presentazione dello studio
2010 State Of Enterprise SecurityView more presentations from Symantec.
Principali risultati dello studio
• La sicurezza è fonte di grande preoccupazione per le aziende globali. Il 42% degli intervistati indica le minacce informatiche al primo posto nella propria lista delle preoccupazioni, molto più di calamità naturali, attacchi terroristici e attività criminali tradizionali. In linea con questa percezione, l’IT è quindi concentrata in maniera decisa sulla sicurezza aziendale. Le organizzazioni IT assegnano mediamente 120 addetti alla gestione della sicurezza e della conformità IT. Le aziende indicano una "migliore gestione del rischio operativo legato all’IT" quale principale obiettivo per il 2010 e l’84% valuta questo aspetto come prioritario o altamente importante. La quasi totalità degli intervistati (94%) prevede cambiamenti nella sicurezza per il 2010 e secondo il 48% si tratterà di novità importanti.
• Le aziende sono vittime di attacchi frequenti. Negli ultimi 12 mesi il 75% delle aziende ha registrato attacchi informatici e il 36% ne ha indicato l’efficacia come abbastanza/molto elevata. Aspetto ancora peggiore, il 29% degli intervistati ha riferito che la frequenza degli attacchi è aumentata negli ultimi 12 mesi.
• La totalità delle aziende (100%) ha registrato danni informatici nel 2009. Le prime tre tipologie di danni riferiti sono state il furto di dati riguardanti carte di credito dei clienti, la sottrazione di altre informazioni finanziarie e il furto di dati in grado di risalire all’identità dei clienti. Tali perdite hanno comportato danni di natura economica nel 92% dei casi. Le principali tipologie di danno economico hanno riguardato perdite di produttività, fatturato e fiducia da parte dei clienti. Gli intervistati hanno dichiarato che le rispettive aziende spendono mediamente 2 milioni di dollari all’anno nella lotta contro gli attacchi informatici.
• La sicurezza aziendale sta diventando sempre più difficile a causa di una serie di fattori concomitanti. Innanzitutto il personale delle aziende impegnato nella sicurezza è insufficiente, con l’impatto più pesante sulla sicurezza delle reti (44%), sulla sicurezza degli endpoint (44%) e sulla sicurezza del messaging (39%). In secondo luogo, le aziende sono impegnate in nuove iniziative che complicano l’implementazione della sicurezza. Le iniziative che le organizzazioni IT indicano come le più foriere di problemi dal punto di vista della sicurezza comprendono i progetti infrastructure-as-a-service e platform-as-a service, la virtualizzazione di server ed endpoint e i programmi software-as-a-service. Anche la conformità IT pone severe sfide. Un’azienda tipica si trova a confrontarsi con 19 standard o framework IT differenti e ne impiega correntemente 8. I principali standard utilizzati sono ISO, HIPAA, Sarbanes-Oxley, CIS, PCI e ITIL.
"Abu Dhabi Commercial Bank è un eccellente esempio di organizzazione che ha implementato una strategia di sicurezza efficace che pone l’enfasi sulla risoluzione proattiva dei problemi", ha commentato Marengo.
"La società ha implementato infatti una soluzione completa, comprendente prodotti e servizi, che fornisce protezione, monitoraggio e reazione alle minacce sulle 24 ore, il tutto a fronte del pagamento di un canone annuale prefissato. Questo approccio è sicuramente più conveniente rispetto alla protezione postuma della propria rete, quando ormai il danno è stato fatto".
Suggerimenti
• Le aziende devono tutelare le loro infrastrutture proteggendo gli endpoint e gli ambienti di Web e messaging. Anche la protezione dei server interni critici e la capacità di backup e recovery dei dati costituiscono altrettante priorità. Le aziende devono anche possedere piena visibilità e intelligence sulla sicurezza per poter reagire tempestivamente alle minacce.
• Gli amministratori IT devono proteggere le informazioni in maniera proattiva adottando un approccio "information-centric" per tutelare tanto le informazioni stesse quanto le interazioni con esse. Intraprendere un approccio content-aware per proteggere le informazioni è essenziale per conoscere dove si trovano i dati sensibili, chi vi ha accesso e in quale modo tali informazioni circolano all’interno dell’azienda.
• Le aziende devono sviluppare e applicare policy IT adeguate e automatizzare i propri processi di conformità. Definendo le priorità dei rischi e implementando policy estese a tutte le sedi, i clienti possono attuare i processi e i workflow stabiliti in maniera automatica, non limitandosi a identificare le minacce prima che si manifestino o a reagire dopo che i problemi si sono verificati.
• Le aziende devono gestire i sistemi implementando ambienti operativi sicuri, distribuendo e implementando le patch disponibili, automatizzando le procedure in modo da accrescere l’efficienza e monitorando lo stato dei sistemi.
Puoi scaricare gratuitamente lo studio "2010 State of Enterprise Security" cliccando qui