Manager europei in ritardo su formazione e investimenti. Lo rivela l’idagine di BT/Vanson Bourne che mette a confronto i comportamenti dei business leader di sette paesi sulle minacce alla sicurezza informatica
La frattura tra Europa e Stati Uniti si allarga al settore della sicurezza informatica. E scava un solco profondo tra le due sponde dell’Atlantico. Secondo una ricerca commissionata da BT e condotta dalla società di consulenza Vanson Bourne in sette paesi (USA, Brasile, Honk Kong, Singapore, UK, Germania, Francia) solo per meno di un terzo dei decisori interpellati (business leader) la sicurezza IT è in cima alle priorità organizzative, con punte del 52% in Brasile, 41% negli USA e valori decisamente più bassi in Germania (19%) e UK (17%). Altrettanto interessante il dato relativo alla percezione del livello di coinvolgimento del management in tema di sicurezza da parte dei responsabili IT (ITDM). Dallo studio emerge che il 58% degli interpellati ritiene sottostimata l’importanza della sicurezza da parte dei decisori; qui la punta massima si registra negli USA (74%); seguono Hong Kong (68%), Brasile (50%) e il dato segna un crollo verticale in Germania (32%). Allo stesso tempo, meno di un quarto (23%) ritiene che al di fuori della funzione IT la sicurezza sia adeguatamente compresa e solo il 18% valuta positivamente i progetti IT sviluppati dall’organizzazione di appartenenza in termini di attenzione alle esigenze di sicurezza logica. La ricerca evidenzia inoltre un sostanziale squilibrio nell’attribuzione delle responsabilità tra le funzioni aziendali, assegnate nella maggioranza dei casi a CIO e manager IT ai quali è altresì demandata un’estrema versatilità di ruoli in caso di perdite di dati e downtime.
Differenze di approccio
Le differenze di approccio al problema tra Europa e Usa emergono anche dall’individuazione delle maggiori fonti di pericolo. Nel complesso, le minacce interne non intenzionali rappresentano il pericolo più temuto da parte dei rispondenti; più in dettaglio, a fronte di una media del 65% dei responsabili IT che individua all’interno del proprio perimetro aziendale le minacce più pericolose, il dato sale all’85% per i rispondenti USA e cala al 56% in Europa. Seguono le minacce interne intenzionali (79% negli USA contro il 53%), l’attivismo digitale (77% / 48%), la criminalità organizzata (75% / 38%) e la pirateria informatica (70% / 31%). La maggioranza si trova invece d’accordo nell’escludere la minaccia terroristica quale fattore di rischio probabile per i prossimi dodici mesi. Alla luce di queste rilevazioni, lo studio BT/Vanson Bourne restituisce un’istantanea del dinamico panorama della sicurezza che solleva non poche perplessità circa l’arretratezza di paesi importanti come Francia, Germania e Regno Unito rispetto alla controparte statunitense sia in termini di minore sensibilità al problema sia di preparazione. Indicativo in tal senso è il dato relativo alla capacità di calcolo del ROI, con meno di 6 aziende europee su 10 in grado di valutarne l’impatto sugli investimenti a fronte del 90% delle aziende USA. Anche la formazione sulla sicurezza è cenerentola tra le voci d’investimento in Europa con meno del 50% tra i dirigenti che dichiara di aver partecipato a corsi di formazione contro l’86% dei pari grado USA. Un gap che non può non avere delle conseguenze, come rilevato da Mark Hughes, CEO di BT Security. «In seguito all’enorme diffusione di dispositivi di proprietà dei dipendenti, del cloud computing e delle extranet, i rischi di utilizzo improprio e di attacchi si sono moltiplicati, esponendo le aziende a una miriade di minacce interne ed esterne, intenzionali e accidentali. L’impegno profuso dalle aziende statunitensi in quest’ambito è lodevole. I rischi cui sono esposte le aziende aumentano troppo in fretta e un approccio alla sicurezza reattivo non è più sufficiente. Oltretutto è importante capire che la questione non riguarda soltanto l’IT».
Le ragioni di questo ritardo – però – sono molteplici e non è azzardato ipotizzare che lo stillicidio di rivelazioni sui programmi di spionaggio dei mesi scorsi, abbia acuito la sensazione di inefficacia di un approccio meramente reattivo alle problematiche di sicurezza, richiamando la necessità da parte di CEO ed executive a investire di più in tecnologia e formazione.