[English readers: you can find English links in this post for your convenience]

La  Forrester Consulting ha pubblicato una indagine che ha analizzato diversi aspetti legati alla gestione della sicurezza in ambito aziendale:

  1. il valore delle informazioni sensibili presenti in azienza
  2. i controlli di sicurezza adottati per proteggere tali informazioni
  3. i criteri che guidano i programmi di sicurezza aziendali (e quindi la relativa spesa)
  4. i costi e gli impatti degli incidenti di sicurezza

Questa ricerca, commissionata congiuntamente da Microsoft ed RSA, è stata realizzata sulla base di 305 interviste di IT security decision-makers distribuiti tra il Nord America, Europa e Australia, e ha rivelato una realtà che si può così sintetizzare:

le aziende sono molto sbilanciate verso l’impegno di Compliance, ossia verso la protezione dei cosiddetti “custodial data” (dati custoditi di clienti e partner, quali i loro dati sensibili come dati medici, carte di credito, etc) dettata da norme e regolamenti, e molto poco dedite alla protezione dei cosiddetti “secrets” (dati di proprietà intellettuale aziendale, segreti industriali e commerciali) che garantirebbero loro il vantaggio competitivo nel lungo termine.

Questi i principali risultati:

  • la proprietà intellettuale e i segreti industriali rappresentano i due terzi delle informazioni da proteggere in azienda, e sono quindi il doppio dei “custodial data”
  • Nonostante questa suddivisione nella tipologia dei dati, l’80% della spesa in ambito sicurezza viene indirizzata per metà alle attività di Compliance e per metà alla protezione dei dati aziendali
  • Le aziende si concentrano sulla prevenzione di perdita di dati accidentale e non curano molto la prevenzione del furto intenzionale di dati da parte di dipendenti che ha un impatto e un costo molto più significativo
  • Le aziende con maggiore proprietà intellettuale da proteggere sono quelle maggiormente soggette ad attacchi e incidenti di sicurezza (quattro volte di più)
  • I responsabili di sicurezza non hanno l’esatta consapevolezza dell’efficacia dei controlli di sicurezza da loro adottati

Devo sinceramente dirvi che, alla luce della personale esperienza di interazione con diverse realtà aziendali italiane in questi anni, questi risultati non mi turbano: è sempre stato più facile intervenire in aiuto delle aziende per ottemperare agli obblighi di conformità alle varie normative di protezione dei dati personali, così come correre a chiudere le falle emerse in occasione di incidenti di sicurezza, che impostare un piano preventivo di messa in sicurezza degli asset aziendali critici, da proteggere secondo i crismi di una vera analisi di security risk management.

Un esempio su tutti: in occasione del worm Conficker avevo fatto analoghe considerazioni di opportunità nel cercare di essere più proattivi e meno reattivi ( Worm Conficker.B: forse non tutto il male viene per nuocere ).

Certo fa sicuramente impressione trovare un riscontro ampio e documentato in questa analisi, ed esteso non solo alla realtà italiana: mi auguro che le considerazioni e le raccomandazioni condivise nel documento (che trovate nelle risorse di approfondimento) possano essere di aiuto nel ribilanciare i criteri di gestione della sicurezza in modo più appropriato.

Voi vi ritrovate nei dati di quest’analisi? Avviene così nelle vostre aziende?

Feliciano

Other related posts/resources: