Ricerca Ernst & Young: tra sfide e cambiamenti, migliora la sicurezza informatica

Sicurezza
0 0 Non ci sono commenti

Le aziende alla ricerca di equilibrio tra sforzi per la riduzione del rischio e iniziative per il miglioramento delle performance di business

Nonostante le iniziative basate sulla cosiddetta compliance si confermino il driver primario nell’Information Security, circa la metà (45%) degli intervistati a livello globale ha indicato il raggiungimento degli obiettivi di business come uno dei tre fattori determinanti per intraprendere iniziative dedicate alla sicurezza informatica.

In Italia, però, la percezione di questo obiettivo è risultata leggermente inferiore, con soltanto il 35% del campione che si è espresso in modo analogo. In questo contesto, i responsabili della sicurezza informatica cercano di trovare un equilibrio fra il tradizionale ruolo di gestione del rischio e il focus sempre maggiore sull’incremento delle performance di business: una sfida ancora più complessa se le funzioni di Information Security non sono veramente allineate al top management e ai processi decisionali strategici. Ed un altro elemento di complicazione è la dichiarata carenza di risorse qualificate e competenti.

Questi in sintesi i contenuti della Global Information Security Survey, che condotta da Ernst & Young, ha coinvolto circa 1300 senior executive in oltre 50 Paesi, tra cui 40 provenienti dall’Italia . Il commento dei risultati è affidato a Fabio Merello, responsabile del dipartimento Technology and Security Services della società : “Nell’ultimo decennio, abbiamo assistito alla crescita del ruolo della sicurezza informatica e molte aziende ora considerano questo aspetto come un fattore critico per il raggiungimento degli obiettivi di business. Da una migliore interazione con il top management aziendale e gli altri stakeholder aziendali può derivare un incremento sostanziale delle loro performance. Tale allineamento sta avendo impatto positivo sulla redditività complessiva, elevando l’Information Security da semplice funzione tecnologica a imperativo strategico. E le organizzazioni che non promuovono queste relazioni perdono l’opportunità di incrementare le loro attività di business”.

Ma ecco alcuni dei risultati più significativi emersi dallo studio.
Migliora l’allineamento della sicurezza informatica con la gestione del rischio organizzativo. In Italia il 76% degli intervistati considera l’Information Security all’interno di una strategia di Risk Management. Il numero di aziende al mondo che favorisce un’integrazione totale fra sicurezza informatica e gestione efficace del rischio è praticamente raddoppiato rispetto allo scorso anno, passando dal 15% al 29%.
La compliance continua a essere il driver primario dei miglioramenti della sicurezza informatica oltre che un elemento determinante per una gestione del rischio integrata. Per il terzo anno consecutivo gli intervistati hanno indicato la compliance quale driver principale in ambito di Information Security (64% media internazionale, 67% in Italia). Davvero positivo è che nell’82% dei casi (85% nel nostro Paese) si ritiene che la sicurezza informatica abbia acquisito maggiore rilievo proprio per il suo ruolo nell’ambito delle iniziative di conformità.
La privacy e la tutela dei dati sensibili sono sempre più rilevanti nello sviluppo della sicurezza informatica. Il 58% degli intervistati di questa decima edizione del report (54% in Italia) ha indicato la tutela della privacy e dei dati personali fra i primi tre driver, in aumento dunque rispetto al 41% del 2006. La sicurezza informatica è comunque distante dal top management e dai processi decisionali strategici. Ma in Italia la situazione appare migliore. Una separazione preoccupante persiste fra l’Information Security e il processo di decision-making, con oltre un terzo degli intervistati (32%) che afferma di non incontrare mai il proprio board o il comitato di verifica. Ma il dato italiano è in controtendenza, con un maggior coinvolgimento del board o del comitato di verifica, visto che solo il 25% degli intervistati dichiara di non incontrarli mai, anche se rimane inferiore il coinvolgimento dei cosiddetti business leader (in Italia il 30% afferma di non incontrarli, a fronte del dato internazionale del 21%).
Trovare risorse esperte e formate per l’implementazione di progetti di sicurezza informatica è la sfida più grande. Un’opinione condivisa in Italia, dove il 49% delle aziende coinvolte ha rilevato la scarsa disponibilità di risorse adeguatamente formate. Inoltre, il 60% degli intervistati ha dichiarato di affidare in outsourcing alcune attività di gestione della sicurezza informatica, dato che in Italia sale al 70%.

Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore