Page 1 of 30 - DNV GL...Page 2 of 30 PREMESSA Ogni giorno prendiamo decisioni che possono avere...

of 30

Report

DNV GL - BUSINESS ASSURANCE

I dati della tua azienda sono sicuri?

Contenuti

Premessa

Introduzione

Metodologia e campione

Note per il lettore

Scenario attuale

L'importanza dell’information security

o Da una prospettiva personale e sociale

o Da una prospettiva di business

Gestione della sicurezza delle informazioni

Iniziative chiave intraprese

Le principali ragioni per intraprendere iniziative di

information security

Principali benefici

Principali ostacoli

Azioni di sensibilizzazione

Uno sguardo al futuro

Investimenti futuri

Iniziative future

Considerazioni finali

Identificare i leader

L'approccio dei leader alla sicurezza delle informazioni

Scheda Italia

of 30

PREMESSA

Ogni giorno prendiamo decisioni che possono avere ripercussioni

sulla privacy e sulla sicurezza delle informazioni con cui abbiamo a

che fare; sia che si tratti di informazioni “online”, sia “offline”.

L’information security, da intendersi come il mantenimento della

riservatezza, dell'integrità e dell'accessibilità delle informazioni, sta

diventando sempre più una priorità per i privati e per le aziende.

Garantire la sicurezza dei dati finanziari, di quelli relativi al

personale e di quelli di ogni altro tipo non è un processo privo di

sfide. Le aziende sono in grado di comprendere le reali minacce?

Stanno facendo abbastanza? DNV GL – Business Assurance, ente

di certificazione tra i leader a livello mondiale, ha provato a

rispondere a queste domande.

INTRODUZIONE

DNV GL – Business Assurance, con il supporto dell'istituto di

ricerca internazionale GFK Eurisko, ha analizzato come le società

appartenenti a differenti settori di attività in Europa, Nord America,

Sud America e Asia gestiscono gli aspetti legati al tema della

sicurezza delle informazioni.

Condotto nel luglio 2015, il sondaggio ha indagato come i clienti di

DNV GL – Business Assurance si comportano in relazione a un

argomento chiave come l’information security, quali iniziative

hanno intrapreso e quali ostacoli hanno incontrato.

Il sondaggio, che ha coinvolto circa 1.200 professionisti dei settori

primario, secondario e terziario1, evidenzia che su questo tema

l'attenzione è alta. La necessità di farsi carico della sicurezza delle

informazioni non è una novità per le aziende; sono già

significativamente impegnate in tal senso, nonostante incontrino

difficoltà quando si tratta di darsi degli obiettivi concreti.

Mosse principalmente da intenti di protezione delle informazioni, la

maggioranza delle aziende sta ancora lavorando sui requisiti

infrastrutturali essenziali – ossia su quei requisiti che richiedono gli

investimenti più consistenti e che sono indispensabili per evitare

violazioni e perdite e per garantire, allo stesso tempo, la

disponibilità e l’accesso ai dati – e su altre attività di base.

In questo contesto, un gruppo di aziende (di seguito indicate col

termine “leader”2) è già passato da un approccio “difensivo” a uno

votato alla gestione sistemica. Queste società hanno incorporato la

gestione degli aspetti di information security nelle pratiche

quotidiane e sono state capaci di diffondere la cultura all’interno

1 Primario: agricoltura; secondario: manifattura; terziario: servizi, trasporti ecc.

2 Le caratteristiche dei “leader” sono riportate nei riquadri testuali che compaiono nel rapporto e sintetizzate nella

sezione finale Identificare i leader.

of 30

dell’intera organizzazione. La protezione dei dati non è più

responsabilità di un singolo individuo ma è diventata uno degli

obiettivi chiave dell’azienda e di tutto il personale.

METODOLOGIA E CAMPIONE DI INDAGINE

Il sondaggio è stato realizzato nel luglio 2015. Ha coinvolto

1.192 professionisti di aziende dei settori primario,

secondario e terziario di differenti comparti in Europa, Nord

America, America Centrale, Sud America e Asia.

Il campione è composto di clienti di DNV GL e non è

statisticamente rappresentativo del totale delle aziende a

livello mondiale.

Europa 41% Asia 43%

Nord America 7%

Centro Sud America 6% Altro 3%

Figura 2: Aziende coinvolte. Settore e grandezza (per numero di dipendenti)

Figura 1: Aziende coinvolte. Distribuzione geografica

of 30

• Il campione include 112 aziende definite “leader”.

o La classificazione di una azienda nella categoria

“leader” è basata sul soddisfacimento di un gruppo

di prerequisiti definiti da DNV GL.

SICUREZZA DELLE INFORMAZIONI

ATTRIBUTI PER LA DEFINIZIONE DEL GRUPPO DELLE AZIENDE “LEADER”

La sicurezza delle informazioni è rilevante per la definizione delle strategie aziendali. L'azienda adotta una strategia di sicurezza delle informazioni. L'azienda si è data obiettivi misurabili in materia di sicurezza delle informazioni. L'azienda ha investito in iniziative di sicurezza delle informazioni negli ultimi 3 anni. L'azienda ha intrapreso iniziative per la sicurezza delle informazioni3. L'azienda è in grado di quantificare il rapporto costi/benefici complessivo delle azioni

intraprese. L'azienda intende mantenere o aumentare gli investimenti in information security nei

prossimi 3 anni. L'azienda si posiziona a livello “avanzato” in una autovalutazione della maturità nella

gestione della sicurezza delle informazioni.

Il questionario è stato somministrato con il metodo CAWI

(Computer Assisted Web Interviewing).

3 L'azienda ha intrapreso almeno una delle seguenti azioni: ha effettuato un benchmarking rispetto alle aziende simili

del proprio settore; si è dotata di policy di sicurezza delle informazioni approvate dal management; dispone di adeguato personale per la gestione della sicurezza delle informazioni all'interno dell'organizzazione; ha implementato una valutazione del rischio relativo alla sicurezza delle informazioni e una metodologia di gestione; ha definito e implementato controlli di sicurezza delle informazioni; ha stabilito obiettivi specifici di sicurezza delle informazioni; si è dotata e ha testato uno specifico Business Continuity Plan (BCP); dispone di un “Information Security Manager” dedicato, responsabile dei processi di sicurezza delle informazioni; dispone di un sistema regolare di reporting al top management della performance relativa alla sicurezza delle informazioni; ha introdotto iniziative di training del personale sulla sicurezza delle informazioni; ha operato investimenti in beni e attrezzature relative alla sicurezza delle informazioni; ha operato investimenti nella sicurezza fisica e ambientale; dispone di una gestione della manutenzione delle attrezzature; ha realizzato audit e/o assessment sulla sicurezza delle informazioni; ha messo in condizione gli stakeholder di conoscere i problemi relativi alla sicurezza delle informazioni; ha intrapreso altre iniziative.

of 30

NOTE PER IL LETTORE

Nei grafici riportati nel presente documento, i cerchi rossi

evidenziano i valori significativamente al di sotto della

media, mentre i cerchi verdi evidenziano i valori

significativamente al di sopra della media.

Nei grafici il simbolo “*” indica che la dimensione del

campione è ristretta.

I grafici riportati nelle figure da 3 a 10 e nelle figure 14 e 18

si riferiscono a quesiti a risposta singola (la somma delle

risposte rappresenta il 100% del campione). Tutti gli altri

grafici si riferiscono a quesiti a risposta multipla.

Con la sola eccezione della figura 19, i grafici riportano i

punteggi ottenuti dal totale degli intervistati, dagli

intervistati nelle diverse regioni, dalle aziende che

impiegano più di 250 persone e da aziende “leader” (i

grafici riportano tutti o solo alcuni di questi aspetti).

of 30

LO SCENARIO ATTUALE

L'IMPORTANZA DELL’INFORMATION SECURITY

Da una prospettiva personale e sociale

La sicurezza delle informazioni è un problema cruciale; sia a livello

individuale, sia a livello della società nel suo complesso. Le

persone intervistate ritengono che la questione interessi la loro

vita quotidiana (76%), il loro Paese (83%) e la società (81%).

L’attenzione è notevole e diffusa, con alcune differenze a livello

geografico.

Non sorprende che gli europei registrino punteggi tra i più bassi.

Nonostante l'importanza della sicurezza delle informazioni sia

riconosciuta anche in questo continente, non è “in cima

all'agenda”, né della pubblica opinione, né delle autorità.

Analizzando la questione a livello nazionale, gli asiatici (88%) e i

nordamericani (86%) risaltano con valori al di sopra della media.

Oltre a rispecchiare il divario digitale fra le diverse zone del

mondo, la consapevolezza è più alta che in altre aree forse per via

degli aggressivi attacchi di malware a cui queste regioni sono state

soggette in tempi recenti.

I centro e sudamericani, invece, sembrano preoccuparsi di più

degli aspetti di information security che possono “toccarli”

direttamente, a livello personale nella vita quotidiana (85%) o a

livello aziendale per quanto concerne le strategie delle loro

aziende, come potremo vedere nel prossimo paragrafo (87%).

Figura 3: La sicurezza delle informazioni come problema della vita quotidiana

Figura 4: La sicurezza delle informazioni come problema nazionale

of 30

Da una prospettiva di business

La sicurezza delle informazioni è un aspetto chiave anche dal

punto di vista delle dinamiche di business. È rilevante per le

strategie dell'81% delle aziende intervistate4. Il dato sale all'84%

per le aziende che impiegano più di 250 dipendenti.

La preoccupazione è maggiore tra i nordamericani, i

centroamericani e i sudamericani (tutti all'87%). A ogni modo,

l’importanza è universalmente riconosciuta e i valori registrati da

europei (80%) e asiatici (79%) risultano in linea con la media

generale.

La necessità di doversi occupare di sicurezza dell'informazioni non

desta sorpresa. Per le aziende è un argomento in qualche modo

familiare. Su una scala da 1 a 5 (da principiante ad avanzato) che

misura la maturità nella gestione della sicurezza delle informazioni,

il 40% ha giudicato la propria azienda come “avanzata” (livelli 4 e

5). La percentuale raggiunge il 55% in Nord America.

4 Tra gli aspetti analizzati dagli ultimi studi Viewpoint – gestione dell'acqua, gestione dell'energia, ecc. - la sicurezza delle informazioni ha registrato una delle più alte percentuali in termini di rilevanza per le strategie aziendali.

Figura 6: Rilevanza della sicurezza delle informazioni per le strategie aziendali

Figura 5: La sicurezza delle informazioni come problema globale

I LEADER considerano la sicurezza delle informazioni rilevante per le strategie

aziendali

of 30

Nonostante registrino livelli significativi di consapevolezza, gli

asiatici restano al di sotto della media per quanto riguarda la

familiarità. In sostanza, sentono di avere ancora bisogno di

lavorare su questi aspetti per tenerli sotto controllo.

Anche la dimensione è un fattore che fa la differenza: le grandi

aziende, infatti, totalizzano punteggi al di sopra della media.

Figura 7: Scala di maturità relativa alla gestione della sicurezza delle informazioni

PROTEZIONE DEI DATI PERSONALI

Molto probabilmente, a inizio 2016, l'Unione Europea emanerà un nuovo Regolamento sulla protezione

delle informazioni. Il Regolamento sostituirà tutte le leggi nazionali in materia e sarà necessario

adeguarsi ai requisiti previsti entro due anni dall’entrata in vigore.

Per molti Paesi, il Regolamento richiederà di aggiungere alcune pratiche o di modificare alcune di quelle

al momento previste a livello nazionale. Sarà necessaria una particolare attenzione per determinare

quali delle norme locali per la protezione dei dati potranno essere ancora applicabili. In ogni caso, tutte

le organizzazioni avranno due o tre anni per completare la transizione al nuovo Regolamento.

Alcuni dei requisiti che ci si aspetta saranno previsti nel Regolamento (da confermare una volta che sarà

approvato e rilasciato) sono:

•introduzione di un modello organizzativo basato su principi di responsabilità;

•creazione del ruolo del data protection officer (DPO);

•garanzia del consenso informato e di possibilità di gestione dei dati da parte dei titolari;

•gestione dei fornitori e degli acquirenti, inclusi i requisiti di contratto;

• attività di assessment del rischio relativo alla privacy e valutazione dell'impatto sulla privacy (PIA);

•reporting periodico in merito all'implementazione delle misure di sicurezza per la privacy;

•codici etici per alcuni trattamenti di dati.

Non tutti i requisiti saranno applicabili a tutte le aziende o in tutti i Paesi UE. Andranno altresì tenuti in

considerazione provvedimenti emessi da altre autorità (es. L'Autorità europea per la protezione delle

informazioni, se verrà creata) o le linee guida rilasciate da altri gruppi istituzionali (es. Art. 29 WP).

È probabile che il futuro Regolamento promuoverà i sistemi di certificazione volti a dimostrare la corretta

gestione della privacy. Al momento, ISO/IEC JTC1 SC27 ha emesso uno schema di gestione della privacy

(ISO/IEC 29100), una linea guida per la privacy nel cloud computing (ISO/IEC 27018) e un modello di

assessment delle capacità in materia di privacy (ISO/IEC 29190). Probabilmente, un futuro schema si

baserà sui requisiti ISO/IEC 29190.

of 30

GESTIONE DELLA SICUREZZA DELLE INFORMAZIONI

Le aziende di tutto il mondo gestiscono attivamente gli aspetti

legati all’information security. Tuttavia, a fronte di strategie ad hoc

adottate dal 58% delle imprese, solo il 27% si pone obiettivi

misurabili. Le grandi aziende registrano valori al di sopra della

media: per quanto riguarda le strategie, la percentuale sale al

71%; tuttavia, per quanto riguarda gli obiettivi misurabili, la

percentuale, pur salendo, si ferma al 36%. Per quanto l’impegno

sia diffuso, misurare gli aspetti legati alla sicurezza delle

informazioni non è facile, specialmente quantificare i costi legati

alla violazione o alla perdita di dati.

Con valori al di sopra della media per strategie (70%) e obiettivi

(33%), i nordamericani si distinguono per l'approccio avanzato. Al

contrario, in Asia, meno di una azienda su due adotta una strategia

per l’information security; anche in questo caso, sentono di non

avere ancora la padronanza degli strumenti appropriati per gestire

la questione.

I LEADER stabiliscono strategie di sicurezza delle informazioni e obiettivi

specifici misurabili.

Figura 9: Obiettivi di information security

Figura 8: Adozione di strategie di information security

of 30

INIZIATIVE CHIAVE INTRAPRESE

Le aziende si stanno impegnando significativamente per garantire

la sicurezza delle informazioni. Il 65% delle aziende - e il 73% tra

le grandi aziende - ha investito in iniziative specifiche negli ultimi

tre anni.

Figura 10: Investimenti in iniziative di information security negli ultimi tre anni

Raggruppando le azioni di sicurezza delle informazioni in tre

categorie incrementali di maturità – “essenziale”, “di base” e

“avanzata” –, risulta che le aziende si focalizzano principalmente

su requisiti essenziali e su azioni di base.

Le iniziative essenziali sono quelle a cui non si può rinunciare se si

vuole raggiungere un livello minimo di sicurezza delle informazioni,

come gli investimenti per gli strumenti e le attrezzature per la

sicurezza delle informazioni (41%) o per la sicurezza fisica e

ambientale (32%). Richiedono particolari tecnologie e

generalmente implicano investimenti considerevoli.

Le iniziative di base rappresentano uno step successivo; si

focalizzano sullo staff o sullo sviluppo di un sistema di gestione e

richiedono livelli medi di investimenti. Le più comuni riguardano

l'assunzione di personale dedicato per la gestione della sicurezza

delle informazioni (40%) e i controlli (35%). Le aziende sono

ancora focalizzate sulla protezione e sulla difesa, anziché sullo

sviluppo di un approccio sistematico di gestione degli aspetti di

information security.

Le iniziative avanzate sono relativamente rare. Includono iniziative

di comunicazione ai propri stakeholder delle problematiche legate

alla sicurezza delle informazioni (12%) o il benchmarking nei

confronti dei competitor (8%). Si tratta di attività che

normalmente non richiedono particolari investimenti. Nell'ambito

dell’information security, quando sono presenti gli elementi

essenziali, le spese necessarie per progredire diminuiscono

progressivamente.

LEADER hanno investito in iniziative di sicurezza delle

informazioni negli ultimi tre anni.

of 30

I più attivi sono i nordamericani, con valori al di sopra della media

per tutte le categorie di iniziative. Lo stesso dicasi per le grandi

aziende.

Figura 11 Azioni di information security raggruppate in tre categorie incrementali di maturità: essenziale, base, avanzata

of 30

Figura 12: iniziative di information security intraprese dalle aziende

I LEADER fanno registrare valori più elevati per tutte le azioni: essenziali,

base, avanzate.

Tendono a un approccio sistematico. I LEADER non si focalizzano solo sui

requisiti essenziali ma sono anche in grado di investire in azioni più

sofisticate, come attività di audit (71%), implementazione di una

metodologia di gestione e di valutazione del rischio legato alla sicurezza

delle informazioni (71%) e formazione del personale (70%). Anche la

definizione di obiettivi specifici di sicurezza delle informazioni (63%) e la

regolare notifica al top management in merito alla performance relativa

alla sicurezza delle informazioni (61%) raggiungono percentuali di rilievo.

Sebbene le percentuali dei LEADER raggiungano valori pari a tre volte la

media, mantengono bassi punteggi relativamente alle azioni avanzate.

Meno di un'azienda su due rivela i problemi di sicurezza delle informazioni

agli stakeholder e solo il 23% esegue il benchmarking.

of 30

ISO 27001:2013

SISTEMI DI GESTIONE DELLA SICUREZZA DELLE INFORMAZIONI (SGSI)

Nel secolo scorso, negli anni ’90, British Standard ha sviluppato uno standard (BS7799) per

documentare e definire i requisiti di un Sistema di Gestione della Sicurezza delle Informazioni. Questo

standard consisteva di due parti: i requisiti e le best practice.

Sulla base dello standard BS7799, il comitato ISO ha sviluppato la norma ISO 27001:2005 e il codice

di pratica ISO/IEC 27002:2005 per i controlli della sicurezza delle informazioni. Da questo momento in

poi questo standard* è stato adottato dalla maggior parte degli organismi di certificazione di tutto il

mondo. Oggi il numero di certificati fa segnare un aumento annuo del 7%, come evidenziato nell'ISO

Survey 2014.

Secondo la citata indagine, in tutto il mondo, sono stati emessi circa 24.000 certificati. Emergono

anche alcune peculiarità. Innovatore nella tecnologia digitale, il Giappone si distingue ad esempio

come uno dei Paesi più avanzati nel settore delle sicurezza delle informazioni; anche il Regno Unito si

posiziona a un buon livello, segnando la crescita più importante in termini assoluti.

Ma che cosa rappresenta per un'azienda l'ottenimento di una certificazione? La certificazione di un

sistema di gestione è l'attività che determina se un’azienda rispetta i requisiti previsti da un

determinato standard. Per ottenere un certificato ISO/IEC 27001 (SGSI) un'azienda viene sottoposta

a revisione (“audit”) da parte di un revisore o di un gruppo di revisori per determinare se è conforme

e solo allora, una volta conforme, viene emesso il certificato.

Le sfide che tipicamente le aziende o le organizzazioni si trovano a dover affrontare

nell'implementazione di un sistema di gestione della sicurezza delle informazioni conforme allo

standard ISO/IEC 27001 sono numerose.

L'analisi dei database DNV GL (elaborazione dei più recenti dati di revisione da tutto il mondo) mostra

che le principali rilevazioni e non conformità riguardano le seguenti clausole di ISO/IEC 27001:

6.2 obiettivi di sicurezza delle informazioni; 9.2 revisioni interne; 9.3 riesame della gestione; A17 gestione della continuità operativa.

6.2 Obiettivi di sicurezza delle informazioni

L'azienda deve stabilire obiettivi misurabili a livelli e funzioni di rilievo, in linea con la policy per la

sicurezza delle informazioni e l'analisi dei rischi. Questi obiettivi devono essere comunicati e si deve stilare un piano per raggiungerli.

Nell'analizzare i risultati si evince che la maggior parte delle aziende hanno difficoltà a definire e a monitorare obiettivi misurabili legati ai sistemi di gestione della sicurezza delle

informazioni: le aziende stanno faticando per definire obiettivi che siano allineati con gli

obiettivi aziendali, i rischi e la continuità operativa.

9.2 Revisioni interne

Ogni sistema di gestione richiede la pianificazione, l'esecuzione e la notificazione delle revisioni interne

per determinare l'effettiva implementazione di un sistema di gestione della sicurezza delle

informazioni.

La maggior parte delle segnalazioni si riferiscono alla mancanza di pianificazione, di esperienza e di competenze relative ai sistemi di gestione della sicurezza delle informazioni all’interno dei team di internal audit aziendali. Questi team dovrebbero avere conoscenze specifiche in

materia di sicurezza delle informazioni.

of 30

9.3 Revisione della gestione

Il top management deve revisionare il sistema di gestione della sicurezza delle informazioni a intervalli

programmati per assicurare la sua sostenibilità, adeguatezza ed efficacia. Mediante la valutazione e la

discussione di un insieme definito di aspetti, l'organizzazione deve decidere se il sistema di gestione

della sicurezza delle informazioni necessita di miglioramenti e cambiamenti o se va bene

all'organizzazione, alle sue policy e se è adatto alle analisi dei rischi effettuate.

La maggior parte delle segnalazioni riguarda argomenti mancanti nell'analisi dell'SGSI. Nella documentazione spesso mancano policy, valutazione del rischio, risultati della revisione e monitoraggio degli obiettivi.

A17 Gestione della continuità operativa

I requisiti per la sicurezza delle informazioni (C-Continuità, I-Integrità, A-Availability ossia

Disponibilità) devono essere inseriti nella gestione della continuità operativa dell'organizzazione.

Devono essere sviluppati possibili scenari di crisi e di emergenza, inoltre deve essere istituito ed

eseguito un piano di test per assicurare la continuità operativa durante situazioni di avversità.

Le segnalazioni relative a questo argomento sono tipicamente la mancanza di appropriati scenari di crisi e di emergenza, oltre a un piano di test BCP documentato e monitorato. Esercitazioni di evacuazione e attività di ripristino a seguito di emergenze vengono spesso posticipate o non eseguite.

Gli obiettivi, le revisioni, le analisi e la gestione della continuità sono aree in cui si possono ottenere

miglioramenti significativi; questo è ciò che emerge chiaramente sia dai risultati di questa indagine

Viewpoint, sia dall'analisi delle segnalazioni più frequenti rilevate durante le nostre attività di audit in

tutto il mondo. Le aziende sono ancora focalizzate sulle infrastrutture, con protezione e difesa quali

principali obiettivi. Hanno ancora bisogno di lavorare per sviluppare un approccio di gestione

sistematica della sicurezza delle informazioni.

* Ogni 7-8 anni gli standard ISO vengono aggiornati e rivisti: due anni fa lo standard ISO/IEC 27001:2013 è stato rivisto secondo un approccio differente ai requisiti. Questo nuovo standard si allinea con le ISO 9001 (Gestione della Qualità) e con la ISO 14001 (Gestione Ambientale) e contiene una struttura di alto livello con requisiti ordinari e un allegato con 114 controlli ripartiti in 14 capitoli.

of 30

LE PRINCIPALI RAGIONI PER INTRAPRENDERE INIZIATIVE

DI INFORMATION SECURITY

La ragione principale che spinge le aziende a intraprendere

iniziative di information security è la protezione delle informazioni.

Tra le altre ragioni più comuni ci sono la salvaguardia degli asset

aziendali (45%) e la riduzione delle perdite (31%). Un ruolo

rilevante lo giocano anche le policy interne (40%) e la conformità a

leggi e regolamenti (39%).

La possibilità di ottenere un vantaggio competitivo e la reputazione

del brand contano complessivamente per il 28%; le aziende sono

consapevoli che la perdita di informazioni può intaccare il loro

posizionamento.

La pressione esterna – da parte dei consumatori (14%) o da parte

degli stakeholder (13%) – ha una scarsa influenza.

Figura 13: Ragioni che spingono le aziende a intraprendere iniziative di information security

Le percentuali sono più alte, ma le ragioni che motivano i LEADER in sostanza non

cambiano. Salvaguardare il patrimonio aziendale (80%), le policy interne (80%) e

conformità a leggi e regolamenti (79%) sono in cima alla lista.

Tuttavia, sono spinti anche dalla possibilità di ottenere un vantaggio

competitivo/migliorare la reputazione del brand (64%) e dalla pressione da parte degli

stakeholder (25%) e dei clienti (22%) in proporzione molto al di sopra della media.

Inoltre, le raccomandazioni frutto delle attività di audit e la necessità di divulgare le

performance in materia di information security giocano un ruolo rilevante per un

intervistato su quattro.

of 30

CONTINUITÀ OPERATIVA E SICUREZZA DELLE INFORMAZIONI

Una panoramica sullo standard ISO 22301 per la gestione della continuità operativa

Uno standard per la gestione della continuità operativa è stato pubblicato per la prima volta nel 2006,

il BS 25999. Da allora si è passati alla scena internazionale nel 2012 con la pubblicazione dell’ISO

22301:2012 (Sicurezza societaria – Sistemi di gestione della continuità operativa). Vale la pena fare

questo riferimento per due ragioni: in primo luogo, ha collocato la continuità operativa su un

palcoscenico globale; in secondo luogo ha aperto la via alla nuova Struttura di Alto Livello per gli

standard ISO.

La Struttura dello standard ISO 22301:2012

1.Scopo

2.Riferimenti normativi

3.Termini e definizioni

4.Contesto dell'organizzazione

5.Leadership

6.Pianificazione

7.Supporto

8.Funzionamento

9.Valutazione della performance

10.Miglioramento

Supporta le organizzazioni di tutte le dimensioni e di tutti i settori nel tenere sotto controllo possibili

interruzioni che possono intaccare l’operatività. Lo standard ISO 22301 adotta un approccio BCM* a 6

elementi in linea con la continuità delle operazioni prevista da un programma aziendale di BC.

Questi 6 elementi sono:

Gestione del programma di continuità operativa;

Inserimento di competenze e consapevolezza;

Comprensione dell'organizzazione;

Selezione delle opzioni di continuità operativa;

Sviluppo e implementazione di una risposta di continuità operativa;

Esercizio e test.

Questi elementi servono a controllare efficacemente i rischi che possono interessare la continuità

operativa e, in particolare, assicurare che qualsiasi elemento rilevante per la sicurezza delle

informazioni venga identificato e gestito durante le interruzioni. I principi chiave di information

security, ossia la riservatezza e la disponibilità dei dati, devono essere presi in considerazione quando

si pianificano le reazioni per ristabilire la continuità. Ciò significa che i team operativi hanno bisogno di

definire quali informazioni è necessario proteggere e quali informazioni devono risultare disponibili

durante uno scenario di emergenza. La continuità nel proteggere i dati è formalmente richiesta

nell'Allegato A dello standard ISO/IEC 27001 per la sicurezza delle informazioni; questo è il motivo

per cui i due standard si integrano molto bene. Lo standard ISO/IEC 27001 per i sistemi di gestione

della sicurezza delle informazioni, attraverso i controlli definiti nell'Allegato A17 evidenzia dove,

nell’ambito del programma di continuità operativa, l'organizzazione dovrebbe assicurare il

soddisfacimento dei requisiti di sicurezza. Lo standard di continuità operativa ISO 22301, valutando gli

impatti sull’attività e dei rischi, contempla quei requisiti di sicurezza in modo che i piani di emergenza

e continuità non solo prevedano la continuità operativa ma la assicurino in modo appropriato.

* L’acronimo BCM indica il Business Continuity Management. BC è l'acronimo di Business Continuity.

of 30

PRINCIPALI BENEFICI

Il 40% circa delle aziende non è in grado di rispondere quando

interpellato in merito al rapporto costi/benefici delle azioni

intraprese (le stesse difficoltà sono emerse anche riguardo alla

definizione degli obiettivi). Le grandi aziende sembrano avere le

stesse difficoltà, anche se in misura minore.

Comunque, fra quelle in grado di rispondere, la maggior parte

ritiene che i benefici siano maggiori rispetto ai costi (44%). La

proporzione sale a una su due in Centro e Sud America e nel caso

delle aziende più grandi.

Figura 14: Rapporto costi/benefici

Il beneficio più comunemente percepito derivante dalle azioni di

information security è la riduzione delle perdite (35%). Ciò è

perfettamente in linea con l’emergere della “volontà di protezione

dei beni aziendali” quale ragione principale tra le motivazioni che

spingono le imprese a intraprendere iniziative di information

security.

Proteggere le informazioni potrebbe sembrare “solo un affare

interno”, ma, in realtà, comporta anche diverse ripercussioni

esterne. Le aziende beneficiano anche in termini di conformità alle

leggi e ai regolamenti (32%) e di vantaggio

Per il 60% dei LEADER i benefici sono maggiori dei costi.

of 30

competitivo/reputazione del brand (23%). Anche le relazioni

migliorano: il 23% ha riportato un miglioramento nelle relazioni

con i clienti e il 16% nelle relazioni con altri stakeholder.

Il trend è più pronunciato fra le grandi aziende, con percentuali al

di sopra della media per quasi tutte le dinamiche sopra citate.

I LEADER hanno beneficiato molto più degli altri in termini di vantaggi sia interni, sia esterni,

con percentuali pari ad almeno il doppio della media in entrambi i casi.

Figura 15: Benefici derivanti dalle iniziative di information security

of 30

PRINCIPALI OSTACOLI

I fattori che impediscono alle aziende di progredire ulteriormente

nel campo della sicurezza delle informazioni sono legati sia alle

ristrettezze economiche, sia al personale. In cima alla lista si

posizionano gli alti costi di implementazione e mantenimento

(33%) e la necessità di dedicarsi ad altre priorità (31%). Seguono

la mancanza di competenza dello staff (23%) e la mancanza di

consapevolezza da parte del management (19%).

Non molti anni fa, la gestione della sicurezza delle informazioni era

considerata una competenza specialistica, oggi si sente

chiaramente il bisogno che diventi trasversale nelle organizzazioni.

La mancanza di competenza è significativa soprattutto in Asia

(33%), mentre per gli europei (16%) e per i nordamericani (10%)

è meno preponderante.

I LEADER gestiscono gli ostacoli meglio degli altri. Gran parte dei fattori si

attestano al di sotto della media, ad eccezione della consapevolezza del

management, che i leader vedono come una importante barriera al progresso.

Figura 16: Ostacoli al progresso nella gestione della sicurezza delle informazioni

of 30

AZIONI DI SENSIBILIZZAZIONE

Le aziende non stanno facendo molto per far sapere in che modo si

stanno muovendo per garantire la sicurezza le informazioni. Solo

una azienda su dieci ha pubblicato informazioni nei report aziendali

o in altri documenti ufficiali. Il 9% ha utilizzato una certificazione

di terza parte e una percentuale ancora minore (l’8%) ha inserito

messaggi nelle attività di marketing. Un’ azienda su cinque non ha

intrapreso alcuna azione. Il rapporto aumenta a circa una su tre in

Europa e in Centro e Sud America.

La cautela riguardo alla comunicazione potrebbe essere spiegata

principalmente con la paura di attacchi legati “all’esporsi”, ma

anche dall’assenza di pressioni esterne a comunicare le misure

preventive intraprese.

Figura 17: Azioni di sensibilizzazione

Nei LEADER si riscontrano percentuali molto al di sopra della

media per tutti i tipi di attività di sensibilizzazione. Sono

consapevoli della necessità di comunicare le azioni intraprese.

of 30

PRINCIPALI TENDENZE DELL'INDUSTRIA “IT”

Big Data, Cloud Computing e Internet of Things

L'industria IT sta vivendo importanti cambiamenti, permettendo alle organizzazioni – anche le più

piccole – di raggiungere orizzonti che potevano difficilmente immaginare soltanto pochi anni fa. Le

tendenze emergenti sono molte, ma le più importanti sono i “Big Data”, il “Cloud Computing” e

l’“Internet of Things” (IoT). In tutti questi casi si fa leva su concetti come la condivisione delle

informazioni, la costruzione di reti e la creazione di connessioni. Le specifiche e le applicazioni possono

essere molte ma c’è sempre un prerequisito fondamentale: la capacità di proteggere le informazioni,

per prevenire interruzioni, intrusioni e abusi.

BIG DATA

Il termine Big Data si sta diffondendo sempre più nelle diverse aree di business e viene usato per descrivere numerose

operazioni, tutte caratterizzate dalla disponibilità di una quantità di dati troppo estesa per poter essere elaborata da

software e database convenzionali. I sistemi di Big Data sfruttano strumenti tecnologicamente avanzati, tecniche e

integrazioni che consentono confronti complessi, nonché analisi approfondite e più efficaci dei dati. Le aziende che non

sono dotate di sistemi di Big Data non riescono a monitorare le enormi quantità di dati e nemmeno a identificare modelli

derivanti da questi dati.

CLOUD COMPUTING

Il Cloud Computing risponde a uno dei bisogni più impellenti dei nostri tempi: la necessità di trattare ampie quantità di dati

da più luoghi e attraverso più dispositivi. Non è più necessario recarsi in ufficio o affidarsi a sistemi di archiviazione fisica

dei dati. Gli utenti e le aziende possono memorizzare ed elaborare i dati in “data center” ed accedervi attraverso diversi

strumenti grazie ad un’interfaccia Internet.

INTERNET OF THINGS (IOT)

Fra le tendenze dell'IT, l'Internet of Things (“Internet delle cose”) è l'elemento che li riunisce tutti. Questo sistema è basato

su comunicazioni macchina-macchina, sfrutta il cloud computing e le reti di raccolta dei dati. L'Internet of Things (IoT) è un

concept che descrive un futuro dove oggetti di uso quotidiano saranno connessi a Internet e capaci di farsi riconoscere da

altri dispositivi. IoT non è limitato a un settore o ad applicazioni specifici: l'universo di dispositivi connessi via web si sta

diffondendo in ogni area di business e in molti aspetti della vita social. I campi di applicazione vanno dai processi di

produzione industriale, dalla logistica e dall'efficienza energetica al controllo remoto e alla protezione ambientale.

Per ottenere il massimo da queste nuove tecnologie, è fondamentale dare un valore economico alle

informazioni. Essere in grado di calcolare i costi finanziari relativi a ogni danno o perdita di

informazioni stimolerà lo sviluppo di processi di sicurezza.

Aiuterà anche a evitare di conservare dati non necessari o obsoleti, elemento da non sottovalutare,

specialmente in ambienti di Cloud Computing. Nell'utilizzo di soluzioni di Cloud Computing è

fortemente consigliabile prestare particolare attenzione ai carichi di lavoro e alla crittografia. Gli stessi

Big Data aiuteranno nel miglioramento della capacità di rispondere alle minacce. Un approccio

intelligente e analitico all'enorme volume di dati in relazione alle minacce esterne permetterà una

risposta più adeguata, a volte anche automatica, utile anche per la gestione della rivoluzione che

rappresenterà ben presto l’IoT. Con l'avvento dell’IoT, le aziende avranno a che fare con un ampio

numero di dispositivi intelligenti interconnessi con i consumatori all'interno dei loro ambienti. Tutto ciò

comporterà specifici problemi di sicurezza; per questa ragione, la sicurezza delle informazioni deve

diventare parte dello stesso processo di progettazione delle soluzioni IoT, con manager informatici che

consiglino e guidino i progettisti nel campo della privacy e della “cybersecurity”.

of 30

UNO SGUARDO AL FUTURO

INVESTIMENTI FUTURI

Tra chi ha risposto, la maggior parte delle società ha in

programma di mantenere o addirittura di aumentare gli

investimenti in information security nei prossimi tre anni; il 43%

intende incrementare gli investimenti rispetto a oggi e la

percentuale sale al 49% tra gli americani.

Il numero di aziende che investiranno di meno o non opereranno

alcun investimento è trascurabile. Tutte le aziende sono

consapevoli del fatto che si tratta di una questione cruciale.

Figura 18: Investimenti futuri

INIZIATIVE FUTURE

In futuro la bilancia si sposterà da azioni essenziali e di base ad

azioni di base e avanzate. Le aziende si muoveranno verso

l’adozione di un sistema di gestione della sicurezza delle

informazioni, piuttosto che focalizzarsi sui requisiti infrastrutturali

essenziali.

Nonostante siano già significativamente impegnate per l’information security, le

aziende LEADER manterranno e incrementeranno gli investimenti anche in futuro.

of 30

Tra le iniziative che verranno incrementate in futuro, la maggiore

crescita riguarda la formazione del personale (44%; +13%). Allo

stesso tempo si osserverà un decremento nella definizione di ruoli

manageriali specificatamente dedicati all’information security

(15%; -7%) e nel personale specializzato nella gestione della

sicurezza delle informazioni all’interno dell’organizzazione (31%, -

9%). Le aziende vedono sempre più l’information security come un

atteggiamento da diffondere all’interno dell’organizzazione

piuttosto che come responsabilità di una singola persona o di un

singolo team.

L’implementazione di attività di risk assessment e di una

metodologia di gestione specifiche per la sicurezza delle

informazioni crescerà notevolmente (31%; +6%), così come la

definizione di obiettivi di information security (25%; +8%),

evidenziando lo sviluppo di una tendenza verso un approccio più

sistematico.

Inoltre, anche le azioni più sofisticate registrano un incremento,

come le valutazioni/revisioni della performance (27%, +3%) e il

benchmarking rispetto ai competitors (15%; +7%).

Figura 19: Iniziative di sicurezza delle informazioni future vs. attuali

I LEADER hanno già soddisfatto le necessità essenziali e di base. In futuro si focalizzeranno su

iniziative più avanzate, come il benchmarking con i competitor (31%; +6%). L’attenzione per la

formazione del personale rimane in cima alla lista.

of 30

BIG DATA E SICUREZZA DELLE INFORMAZIONI

Quello dei Big Data è uno degli argomenti maggiormente discussi nell’economia globale digitalizzata

dei giorni nostri. “Cosa sono i Big Data?” è una delle domande più comuni che girano nella business

community. Non c’è ancora consenso su una definizione univoca di “Big Data”, e a questo termine si

legano diverse definizioni basate su differenti prospettive. IBM, organizzazione leader nel campo dei

Big Data e degli analytics, definisce i Big Data come segue: “Ogni giorno creiamo 2,5 quintilioni di

byte di dati – così tanti che il 90% dei dati circolanti oggi nel mondo sono stati creati negli ultimi due

anni. Questi dati arrivano da ogni parte: sensori usati per la raccolta di informazioni climatiche, post

sui siti di social media, immagini e video digitali, registrazioni di transazioni commerciali e segnali GPS

dei telefoni cellulari, solo per citare alcuni esempi. Questi dati sono “big data*”. I Big Data sono un

tema sempre più un “caldo” perché elementi comuni si riscontrano ovunque, in tutti i settori

industriali, in ogni Paese, in ogni organizzazione e per ogni utente di Internet e dei dispositivi mobili.

L’abilità di immagazzinare, aggregare e combinare i dati e successivamente utilizzare i risultati per

eseguire analisi approfondite è ora ampiamente diffusa. I Big Data hanno trovato parecchie

applicazioni in diversi settori industriali, come l’apprendimento automatico, l’ottimizzazione di rete, la

ricerca semantica e molti altri ancora. Per esempio, uno dei principali cambiamenti riguardo ai dati è

la nascita di informazioni relative alla localizzazione in tempo reale, che hanno creato un’intera

gamma di servizi basati sulla localizzazione, dalla navigazione alla definizione del prezzo degli

immobili e alle assicurazioni sugli infortuni formulate in base a dove e a come le persone guidano le

proprie auto. Le aziende leader e visionarie stanno iniziando a sviluppare le loro abilità organizzative

riguardo ai Big Data.**

Questa grande quantità di dati permette svariate opportunità e applicazioni, ma allo stesso tempo fa

sorgere seri dubbi per quanto riguarda la privacy individuale, la sicurezza delle informazioni e via

dicendo. Il rischio sociale più ovvio è rappresentato dalle violazioni della privacy. Per di più i Big Data

e le tecnologie stanno diventando sempre più intrusive e troppo complesse da comprendere per una

persona comune. Il consumatore medio oggi non ha alcuna idea né delle informazioni che crea con

ogni click su Internet, né quanto sia al sicuro il dato che egli fornisce. La grande quantità di

informazioni personali creerà indubbiamente un conflitto tra privacy e convenienza.

L’aumento esponenziale dei dati e del loro utilizzo solleva diverse domande interessanti, quali: come

può la società può proteggere se stessa dall’abuso di questi dati? Che tipo di sistemi di

regolamentazione e di conformità sono necessarie per queste attività? Di chi è la responsabilità di

assicurare alle organizzazioni e alla società intera che i dati e le informazioni che le riguardano siano

in modo sicuro? Di quali sistemi di misurazione disponiamo per controllare intrusioni nei dati? E la

domanda più importante: come definiamo la legittimità delle pratiche in questo settore, specialmente

quando le attività e le implicazioni dei Big Data sono così innovative?

In questo campo l’innovazione sta crescendo alla velocità della luce e definire un protocollo legale o di

sicurezza in un ambiente così dinamico non è facile. I Big Data creano sì opportunità ma pongono

anche sfide formidabili per governi e per i settori industriali nella definizione di regolamentazioni

standard per il trattamento dei dati.

*http://www-01.ibm.com/software/data/bigdata/what-is-big-data.html

** Manyika, J., Chui, M., Brown, B., Bughin, J., Dobbs, R., Roxburgh, C., & Byers, A. H. (2011). Big

data: The next frontier for innovation, competition, and productivity.

* http://www-01.ibm.com/software/data/bigdata/what-isbig-data.html

of 30

CONSIDERAZIONI FINALI

Viviamo nella cosiddetta era digitale. La tecnologia sta cambiando

positivamente le nostre vite ma pone certamente nuove sfide e

nuovi rischi che non siamo ancora abituati ad affrontare. Basta

citarne alcuni per comprendere la portata della questione.

Gli oggetti dell’era digitale – dagli smartphone agli strumenti che

usiamo in ufficio e ai sistemi di produzione industriale – non sono

ancora progettati per essere sicuri e protetti dagli attacchi

informatici. Per di più il crimine informatico sta diventando una

delle attività più profittevoli per i criminali e, sfortunatamente,

mentre scriviamo, qualcuno sta cercando di trovare nuovi modi di

eludere meccanismi di information security.

Tale scenario è poco rassicurante, ma prendere coscienza dei rischi

è il primo passo per cercare di ridurli. Le aziende stanno iniziando

a capirlo e stanno approntando le loro difese. Oggigiorno hanno

realizzato, ad esempio, che anche un impianto di imbottigliamento

può finire nel mirino dei criminali. Un attacco che causa una

interruzione nei processi di produzione non solo costituisce una

perdita enorme, ma espone l’azienda a nuove forme di ricatto.

Ancora peggio, una violazione per ragioni di spionaggio industriale

può azzerare ogni vantaggio competitivo e vanificare enormi

investimenti.

Sabotaggio criminale a parte, ogni tipo di perdita di informazioni

può influire sul fatturato, dal momento che i processi produttivi

sono sempre più informatizzati.

Le aziende hanno bisogno di ripensare le proprie organizzazioni

tenendo ben presenti queste nuove sfide, partendo dagli elementi

basilari: l’infrastruttura e la cultura. Questo è ciò che fanno i

sistemi di gestione in generale e, specificatamente, i sistemi di

gestione della sicurezza delle informazioni.

La sicurezza delle informazioni può essere definita, gestita e

monitorata utilizzando vari standard, fra questi lo standard

internazionale ISO 27001:2013 è quello a cui più comunemente si

fa ricorso nel mondo. Il numero di aziende che usano questo

standard e stanno lavorando per ottenere una certificazione di

terza parte sta crescendo approssimativamente del 7% all’anno.

Gli elementi di base per implementare un Sistema di Gestione della Sicurezza delle Informazioni

(SGSI) in linea con i requisiti ISO 27001:2013 può essere sintetizzato in 10 step:

Step 1: Studio dei requisiti dello standard ISO 27001:2013, delle linee guida associate, delle norme e

dei regolamenti applicabili all’organizzazione.

Step 2: Ottenimento dell’impegno, del supporto, del budget e dell’approvazione del top management

per l’avviamento di un progetto di SGSI.

of 30

La certificazione è un passaporto per il mercato. Una spinta

importante, principalmente per le nuove opportunità di business.

Per le aziende è utile per dimostrare di aver adottato tutte le

misure necessarie per assicurare l’integrità dei dati e dei sistemi.

L’ISO 27001:2013 è un eccellente strumento per rafforzare la

sicurezza delle informazioni, ridurre il possibile rischio di frode, di

perdite e fughe di informazioni.

Contribuisce altresì alla diffusione nell’organizzazione della cultura

della sicurezza delle informazioni. La sicurezza delle informazioni

oggigiorno non è più responsabilità di un singolo individuo o di un

singolo gruppo di lavoro ma di tutti i livelli del management. Con

l’implementazione di un sistema di gestione della sicurezza delle

informazioni in linea con la serie di standard ISO 27000,

l’organizzazione nel suo insieme è meglio attrezzata per gestire

tutti i rischi connessi e ottenere il massimo, in termini di riduzione

di violazioni e perdite e in termini di miglioramento del giudizio da

parte delle compagni assicurative. Inoltre l’adozione di un sistema

di gestione della sicurezza delle informazioni è lo strumento più

indicato su cui fare affidamento per lavorare al miglioramento

continuo.

Step 3: Definizione delle politiche per la sicurezza delle informazioni, degli obiettivi, dei ruoli, delle

responsabilità e dell’ambito di applicazione (strutture, processi, risorse) per il SGSI.

Step 4: Definire e documentare la metodologia di valutazione del rischio, focalizzata sulla

Riservatezza, l’Integrità e la Disponibilità (RID) delle informazioni nell’azienda. La metodologia è

finalizzata a identificare i criteri e i livelli di accettazione, la stima dei rischi e le possibili azioni di

mitigazione dei rischi.

Step 5: Identificare, analizzare e stimare le minacce rilevanti e il possibile impatto sull’organizzazione

di incidenti e crisi inerenti alla sicurezza delle informazioni, stima dei livelli di rischio (inclusi i livelli di

accettabilità dei rischi).

Step 6: Definire le azioni di riduzione del rischio nell’ambito del piano di risk management e gli

obiettivi, in linea con i criteri di accettabilità e i requisiti determinati da norme e regolamenti in

materia e dai contratti con i clienti.

Step 7: Creare il piano finale di implementazione dell’SGSI che includa i formati e i modelli applicabili,

il piano di gestione del rischio, l’implementazione dei controlli, le sessioni di sensibilizzazione del

personale e le azioni necessarie per l’implementazione.

Step 8: Formare il personale e assegnare le risorse, i sistemi, i processi e le attività per garantire il

corretto funzionamento dell’SGSI secondo quanto definito.

Step 9: Pianificare ed eseguire controlli interni, revisioni di gestione e azioni di miglioramento per

determinare la conformità con i requisiti e identificare i possibili miglioramenti del sistema.

Step 10: Avviare il processo di certificazione di terza parte e considerare di intraprendere un audit

preliminare per avere un’idea sullo stato dell’SGSI e permettere al personale dell’organizzazione di

familiarizzare con l’applicazione e il rispetto di quanto richiesto.

of 30

IDENTIFICARE I LEADER

Le aziende leader sono un passo avanti nella gestione della

sicurezza delle informazioni. Adottano strategie di information

security e stabiliscono obiettivi concreti, nonostante le difficoltà di

misurazione.

Investono significativamente in information security e, sebbene

abbiano ancora da lavorare su qualcuno degli aspetti più avanzati,

non si focalizzano solo su requisiti essenziali, fondamentali per la

protezione dei dati, ma puntano anche su azioni più sofisticate,

come le attività di audit, l’implementazione di attività di

assessment e di metodologie per la gestione dei rischi e la

formazione del personale.

I LEADER stanno già passando da un atteggiamento difensivo a

uno sistemico e proattivo. Sono stati capaci di incorporare la

gestione della sicurezza delle informazioni nelle loro pratiche

quotidiane e di diffondere tale cultura nell’intera organizzazione.

In questo modo le aziende LEADER ottengono significativi benefici,

non solo in termini di riduzione delle perdite ma anche in termini di

vantaggi esterni, come il vantaggio competitivo e il miglioramento

delle relazioni con i clienti e gli altri stakeholder.

L’APPROCCIO DEI LEADER ALLA SICUREZZA DELLE

INFORMAZIONI

1. I LEADER considerano i problemi di sicurezza delle informazioni

nelle loro strategie di business.

2. I LEADER stabiliscono obiettivi di sicurezza delle informazioni.

3. I LEADER investono considerevolmente per l’information

security.

4. In aggiunta a iniziative focalizzate su requisiti essenziali, i

LEADER intraprendono azioni più sofisticate, come le attività di

audit l’implementazione di attività di assessment e di

metodologie per la gestione dei rischi e la formazione del

personale.

5. L’approccio dei LEADER non è solamente difensivo ma

sistemico.

6. La protezione dei dati non è l’unica ragione che motiva i

LEADER a intraprendere iniziative per la sicurezza delle

informazioni. Sono motivati dalla prospettiva di guadagnare un

vantaggio competitivo dal miglioramento della reputazione del

brand, e dalla pressione degli stakeholder.

7. I LEADER guadagnano molto di più dalle iniziative per la

gestione delle informazioni rispetto agli altri.

of 30

8. I LEADER possono superare meglio degli altri gli ostacoli

inerenti la sicurezza delle informazioni.

9. I LEADER comunicano ciò che fanno per la sicurezza delle

informazioni.

10. I LEADER pensano di mantenere e aumentare in futuro gli

investimenti in materia di sicurezza delle informazioni.

of 30

SCHEDA ITALIA

Quando si ha a che fare con la sfera personale, il tema

dell’information security è (leggermente) più sentito in Italia

che nel resto del mondo. I professionisti italiani intervistati,

infatti, ritengono che il tema possa avere un impatto sulla

“propria vita quotidiana” (79%; + 3%*), sul “proprio Paese”

(89%; +6%) e sul “mondo nel suo complesso” (85%; +4%).

L’85% delle aziende italiane (+4% rispetto alla media globale

e +5% rispetto alla media europea) ritiene che l’information

security sia una tematica chiave per le proprie strategie

aziendali.

Grossomodo in linea con la media europea (45%), il 47% degli

italiani intervistati ritiene che la propria azienda sia avanzata

in materia di information security (mentre la media globale è

pari al 40%).

In linea con la media globale, il 58% delle aziende italiane

adotta già strategie ad hoc di information security. Tuttavia,

solo il 25% (-2%) si pone obiettivi misurabili.

Il 62% delle aziende italiane ha investito in iniziative di

information security negli ultimi 3 anni (-3%).

Tra le iniziative relative all’information security intraprese dalle

aziende italiane, le più diffuse sono l’investimento in risorse e

strumentazioni ad hoc (45%; +4), l’adozione di policy per la

sicurezza delle informazioni approvate dal top management

(36; +2%) e la formazione del personale (33; +2%). Anche la

diffusione di tutte le altre iniziative è grossomodo in linea con

quanto avviene nel resto del mondo, con una eccezione. Le

aziende italiane si discostano ampiamente dalla media globale

riguardo alla presenza di professionalità adeguate per la

gestione dell’information security (19%; -21%).

Tra le ragioni che motivano le aziende italiane a intraprendere

iniziative di information security, la compliance normativa

gioca un ruolo di spicco (53%; +14%). Seguono le policy

interne (36%; -4%), la volontà di proteggere gli asset

aziendali (36%, -9%) e infine la volontà di ridurre le perdite di

informazioni e i relativi costi (24%; -7%).

Il 37% (- 7%) delle aziende italiane riporta, relativamente alle

iniziative di information security, benefici superiori ai costi

sostenuti. Riguardo ai benefici derivanti dalle azioni intraprese,

i tre più citati, in linea con quanto succede a livello globale,

sono il miglioramento della compliance normativa (45%,

of 30

+13%), la riduzione delle perdite dovute alle violazioni della

sicurezza delle informazioni (21%, -14%) e un maggior

vantaggio competitivo/miglioramento della reputazione (21%,

-2%).

Uno dei fattori che viene riportato tra i maggiori ostacoli per

l’attuazione di iniziative per la sicurezza delle informazioni in

Italia è la necessità di destinare risorse ad altre priorità (44%;

+13%). L’istituzione e la manutenzione delle iniziative di

information security, inoltre, viene indicata come troppo

costosa da 1 intervistato su 4. (-8%). Per il 21% (+6%) non

esiste alcun tipo di impedimento.

L’11% delle aziende italiane ha comunicato le iniziative di

information security intraprese facendo ricorso alla

certificazione di terza parte, l’8% ha pubblicato informazioni

nei report aziendali.

A testimonianza del progressivo riconoscimento

dell’importanza della sicurezza delle informazioni, l’80% degli

intervistati ha risposto che aumenterà o manterrà i propri

investimenti in information security. In particolare, il 42%, in

linea con la media globale (42%) e quella europea (43%),

incrementerà le risorse destinate a questo scopo.

Gli investimenti verranno impiegati per lo più per la

formazione del personale (38%; -6%) e per dotarsi di risorse

e strumenti ad hoc per l’information security (36%; +2%).

Il campione italiano è composto da 151 aziende.

*Dove non specificato diversamente, i confronti riportati fanno riferimento alla media delle risposte da parte delle aziende a livello global.

Page 1 of 30 - DNV GL...Page 2 of 30 PREMESSA Ogni giorno prendiamo decisioni che possono avere...

Documents

Transcript of Page 1 of 30 - DNV GL...Page 2 of 30 PREMESSA Ogni giorno prendiamo decisioni che possono avere...