Page 1 of 30 - DNV GL...Page 2 of 30 PREMESSA Ogni giorno prendiamo decisioni che possono avere...
Transcript of Page 1 of 30 - DNV GL...Page 2 of 30 PREMESSA Ogni giorno prendiamo decisioni che possono avere...
Page 1 of 30
Report
DNV GL - BUSINESS ASSURANCE
I dati della tua azienda sono sicuri?
Contenuti
Premessa
Introduzione
Metodologia e campione
Note per il lettore
Scenario attuale
L'importanza dell’information security
o Da una prospettiva personale e sociale
o Da una prospettiva di business
Gestione della sicurezza delle informazioni
Iniziative chiave intraprese
Le principali ragioni per intraprendere iniziative di
information security
Principali benefici
Principali ostacoli
Azioni di sensibilizzazione
Uno sguardo al futuro
Investimenti futuri
Iniziative future
Considerazioni finali
Identificare i leader
L'approccio dei leader alla sicurezza delle informazioni
Scheda Italia
Page 2 of 30
PREMESSA
Ogni giorno prendiamo decisioni che possono avere ripercussioni
sulla privacy e sulla sicurezza delle informazioni con cui abbiamo a
che fare; sia che si tratti di informazioni “online”, sia “offline”.
L’information security, da intendersi come il mantenimento della
riservatezza, dell'integrità e dell'accessibilità delle informazioni, sta
diventando sempre più una priorità per i privati e per le aziende.
Garantire la sicurezza dei dati finanziari, di quelli relativi al
personale e di quelli di ogni altro tipo non è un processo privo di
sfide. Le aziende sono in grado di comprendere le reali minacce?
Stanno facendo abbastanza? DNV GL – Business Assurance, ente
di certificazione tra i leader a livello mondiale, ha provato a
rispondere a queste domande.
INTRODUZIONE
DNV GL – Business Assurance, con il supporto dell'istituto di
ricerca internazionale GFK Eurisko, ha analizzato come le società
appartenenti a differenti settori di attività in Europa, Nord America,
Sud America e Asia gestiscono gli aspetti legati al tema della
sicurezza delle informazioni.
Condotto nel luglio 2015, il sondaggio ha indagato come i clienti di
DNV GL – Business Assurance si comportano in relazione a un
argomento chiave come l’information security, quali iniziative
hanno intrapreso e quali ostacoli hanno incontrato.
Il sondaggio, che ha coinvolto circa 1.200 professionisti dei settori
primario, secondario e terziario1, evidenzia che su questo tema
l'attenzione è alta. La necessità di farsi carico della sicurezza delle
informazioni non è una novità per le aziende; sono già
significativamente impegnate in tal senso, nonostante incontrino
difficoltà quando si tratta di darsi degli obiettivi concreti.
Mosse principalmente da intenti di protezione delle informazioni, la
maggioranza delle aziende sta ancora lavorando sui requisiti
infrastrutturali essenziali – ossia su quei requisiti che richiedono gli
investimenti più consistenti e che sono indispensabili per evitare
violazioni e perdite e per garantire, allo stesso tempo, la
disponibilità e l’accesso ai dati – e su altre attività di base.
In questo contesto, un gruppo di aziende (di seguito indicate col
termine “leader”2) è già passato da un approccio “difensivo” a uno
votato alla gestione sistemica. Queste società hanno incorporato la
gestione degli aspetti di information security nelle pratiche
quotidiane e sono state capaci di diffondere la cultura all’interno
1 Primario: agricoltura; secondario: manifattura; terziario: servizi, trasporti ecc.
2 Le caratteristiche dei “leader” sono riportate nei riquadri testuali che compaiono nel rapporto e sintetizzate nella
sezione finale Identificare i leader.
Page 3 of 30
dell’intera organizzazione. La protezione dei dati non è più
responsabilità di un singolo individuo ma è diventata uno degli
obiettivi chiave dell’azienda e di tutto il personale.
METODOLOGIA E CAMPIONE DI INDAGINE
Il sondaggio è stato realizzato nel luglio 2015. Ha coinvolto
1.192 professionisti di aziende dei settori primario,
secondario e terziario di differenti comparti in Europa, Nord
America, America Centrale, Sud America e Asia.
Il campione è composto di clienti di DNV GL e non è
statisticamente rappresentativo del totale delle aziende a
livello mondiale.
Europa 41% Asia 43%
Nord America 7%
Centro Sud America 6% Altro 3%
Figura 2: Aziende coinvolte. Settore e grandezza (per numero di dipendenti)
Figura 1: Aziende coinvolte. Distribuzione geografica
Page 4 of 30
• Il campione include 112 aziende definite “leader”.
o La classificazione di una azienda nella categoria
“leader” è basata sul soddisfacimento di un gruppo
di prerequisiti definiti da DNV GL.
SICUREZZA DELLE INFORMAZIONI
ATTRIBUTI PER LA DEFINIZIONE DEL GRUPPO DELLE AZIENDE “LEADER”
La sicurezza delle informazioni è rilevante per la definizione delle strategie aziendali. L'azienda adotta una strategia di sicurezza delle informazioni. L'azienda si è data obiettivi misurabili in materia di sicurezza delle informazioni. L'azienda ha investito in iniziative di sicurezza delle informazioni negli ultimi 3 anni. L'azienda ha intrapreso iniziative per la sicurezza delle informazioni3. L'azienda è in grado di quantificare il rapporto costi/benefici complessivo delle azioni
intraprese. L'azienda intende mantenere o aumentare gli investimenti in information security nei
prossimi 3 anni. L'azienda si posiziona a livello “avanzato” in una autovalutazione della maturità nella
gestione della sicurezza delle informazioni.
Il questionario è stato somministrato con il metodo CAWI
(Computer Assisted Web Interviewing).
3 L'azienda ha intrapreso almeno una delle seguenti azioni: ha effettuato un benchmarking rispetto alle aziende simili
del proprio settore; si è dotata di policy di sicurezza delle informazioni approvate dal management; dispone di adeguato personale per la gestione della sicurezza delle informazioni all'interno dell'organizzazione; ha implementato una valutazione del rischio relativo alla sicurezza delle informazioni e una metodologia di gestione; ha definito e implementato controlli di sicurezza delle informazioni; ha stabilito obiettivi specifici di sicurezza delle informazioni; si è dotata e ha testato uno specifico Business Continuity Plan (BCP); dispone di un “Information Security Manager” dedicato, responsabile dei processi di sicurezza delle informazioni; dispone di un sistema regolare di reporting al top management della performance relativa alla sicurezza delle informazioni; ha introdotto iniziative di training del personale sulla sicurezza delle informazioni; ha operato investimenti in beni e attrezzature relative alla sicurezza delle informazioni; ha operato investimenti nella sicurezza fisica e ambientale; dispone di una gestione della manutenzione delle attrezzature; ha realizzato audit e/o assessment sulla sicurezza delle informazioni; ha messo in condizione gli stakeholder di conoscere i problemi relativi alla sicurezza delle informazioni; ha intrapreso altre iniziative.
Page 5 of 30
NOTE PER IL LETTORE
Nei grafici riportati nel presente documento, i cerchi rossi
evidenziano i valori significativamente al di sotto della
media, mentre i cerchi verdi evidenziano i valori
significativamente al di sopra della media.
Nei grafici il simbolo “*” indica che la dimensione del
campione è ristretta.
I grafici riportati nelle figure da 3 a 10 e nelle figure 14 e 18
si riferiscono a quesiti a risposta singola (la somma delle
risposte rappresenta il 100% del campione). Tutti gli altri
grafici si riferiscono a quesiti a risposta multipla.
Con la sola eccezione della figura 19, i grafici riportano i
punteggi ottenuti dal totale degli intervistati, dagli
intervistati nelle diverse regioni, dalle aziende che
impiegano più di 250 persone e da aziende “leader” (i
grafici riportano tutti o solo alcuni di questi aspetti).
Page 6 of 30
LO SCENARIO ATTUALE
L'IMPORTANZA DELL’INFORMATION SECURITY
Da una prospettiva personale e sociale
La sicurezza delle informazioni è un problema cruciale; sia a livello
individuale, sia a livello della società nel suo complesso. Le
persone intervistate ritengono che la questione interessi la loro
vita quotidiana (76%), il loro Paese (83%) e la società (81%).
L’attenzione è notevole e diffusa, con alcune differenze a livello
geografico.
Non sorprende che gli europei registrino punteggi tra i più bassi.
Nonostante l'importanza della sicurezza delle informazioni sia
riconosciuta anche in questo continente, non è “in cima
all'agenda”, né della pubblica opinione, né delle autorità.
Analizzando la questione a livello nazionale, gli asiatici (88%) e i
nordamericani (86%) risaltano con valori al di sopra della media.
Oltre a rispecchiare il divario digitale fra le diverse zone del
mondo, la consapevolezza è più alta che in altre aree forse per via
degli aggressivi attacchi di malware a cui queste regioni sono state
soggette in tempi recenti.
I centro e sudamericani, invece, sembrano preoccuparsi di più
degli aspetti di information security che possono “toccarli”
direttamente, a livello personale nella vita quotidiana (85%) o a
livello aziendale per quanto concerne le strategie delle loro
aziende, come potremo vedere nel prossimo paragrafo (87%).
Figura 3: La sicurezza delle informazioni come problema della vita quotidiana
Figura 4: La sicurezza delle informazioni come problema nazionale
Page 7 of 30
Da una prospettiva di business
La sicurezza delle informazioni è un aspetto chiave anche dal
punto di vista delle dinamiche di business. È rilevante per le
strategie dell'81% delle aziende intervistate4. Il dato sale all'84%
per le aziende che impiegano più di 250 dipendenti.
La preoccupazione è maggiore tra i nordamericani, i
centroamericani e i sudamericani (tutti all'87%). A ogni modo,
l’importanza è universalmente riconosciuta e i valori registrati da
europei (80%) e asiatici (79%) risultano in linea con la media
generale.
La necessità di doversi occupare di sicurezza dell'informazioni non
desta sorpresa. Per le aziende è un argomento in qualche modo
familiare. Su una scala da 1 a 5 (da principiante ad avanzato) che
misura la maturità nella gestione della sicurezza delle informazioni,
il 40% ha giudicato la propria azienda come “avanzata” (livelli 4 e
5). La percentuale raggiunge il 55% in Nord America.
4 Tra gli aspetti analizzati dagli ultimi studi Viewpoint – gestione dell'acqua, gestione dell'energia, ecc. - la sicurezza delle informazioni ha registrato una delle più alte percentuali in termini di rilevanza per le strategie aziendali.
Figura 6: Rilevanza della sicurezza delle informazioni per le strategie aziendali
Figura 5: La sicurezza delle informazioni come problema globale
I LEADER considerano la sicurezza delle informazioni rilevante per le strategie
aziendali
Page 8 of 30
Nonostante registrino livelli significativi di consapevolezza, gli
asiatici restano al di sotto della media per quanto riguarda la
familiarità. In sostanza, sentono di avere ancora bisogno di
lavorare su questi aspetti per tenerli sotto controllo.
Anche la dimensione è un fattore che fa la differenza: le grandi
aziende, infatti, totalizzano punteggi al di sopra della media.
Figura 7: Scala di maturità relativa alla gestione della sicurezza delle informazioni
PROTEZIONE DEI DATI PERSONALI
Molto probabilmente, a inizio 2016, l'Unione Europea emanerà un nuovo Regolamento sulla protezione
delle informazioni. Il Regolamento sostituirà tutte le leggi nazionali in materia e sarà necessario
adeguarsi ai requisiti previsti entro due anni dall’entrata in vigore.
Per molti Paesi, il Regolamento richiederà di aggiungere alcune pratiche o di modificare alcune di quelle
al momento previste a livello nazionale. Sarà necessaria una particolare attenzione per determinare
quali delle norme locali per la protezione dei dati potranno essere ancora applicabili. In ogni caso, tutte
le organizzazioni avranno due o tre anni per completare la transizione al nuovo Regolamento.
Alcuni dei requisiti che ci si aspetta saranno previsti nel Regolamento (da confermare una volta che sarà
approvato e rilasciato) sono:
•introduzione di un modello organizzativo basato su principi di responsabilità;
•creazione del ruolo del data protection officer (DPO);
•garanzia del consenso informato e di possibilità di gestione dei dati da parte dei titolari;
•gestione dei fornitori e degli acquirenti, inclusi i requisiti di contratto;
• attività di assessment del rischio relativo alla privacy e valutazione dell'impatto sulla privacy (PIA);
•reporting periodico in merito all'implementazione delle misure di sicurezza per la privacy;
•codici etici per alcuni trattamenti di dati.
Non tutti i requisiti saranno applicabili a tutte le aziende o in tutti i Paesi UE. Andranno altresì tenuti in
considerazione provvedimenti emessi da altre autorità (es. L'Autorità europea per la protezione delle
informazioni, se verrà creata) o le linee guida rilasciate da altri gruppi istituzionali (es. Art. 29 WP).
È probabile che il futuro Regolamento promuoverà i sistemi di certificazione volti a dimostrare la corretta
gestione della privacy. Al momento, ISO/IEC JTC1 SC27 ha emesso uno schema di gestione della privacy
(ISO/IEC 29100), una linea guida per la privacy nel cloud computing (ISO/IEC 27018) e un modello di
assessment delle capacità in materia di privacy (ISO/IEC 29190). Probabilmente, un futuro schema si
baserà sui requisiti ISO/IEC 29190.
Page 9 of 30
GESTIONE DELLA SICUREZZA DELLE INFORMAZIONI
Le aziende di tutto il mondo gestiscono attivamente gli aspetti
legati all’information security. Tuttavia, a fronte di strategie ad hoc
adottate dal 58% delle imprese, solo il 27% si pone obiettivi
misurabili. Le grandi aziende registrano valori al di sopra della
media: per quanto riguarda le strategie, la percentuale sale al
71%; tuttavia, per quanto riguarda gli obiettivi misurabili, la
percentuale, pur salendo, si ferma al 36%. Per quanto l’impegno
sia diffuso, misurare gli aspetti legati alla sicurezza delle
informazioni non è facile, specialmente quantificare i costi legati
alla violazione o alla perdita di dati.
Con valori al di sopra della media per strategie (70%) e obiettivi
(33%), i nordamericani si distinguono per l'approccio avanzato. Al
contrario, in Asia, meno di una azienda su due adotta una strategia
per l’information security; anche in questo caso, sentono di non
avere ancora la padronanza degli strumenti appropriati per gestire
la questione.
I LEADER stabiliscono strategie di sicurezza delle informazioni e obiettivi
specifici misurabili.
Figura 9: Obiettivi di information security
Figura 8: Adozione di strategie di information security
Page 10 of 30
INIZIATIVE CHIAVE INTRAPRESE
Le aziende si stanno impegnando significativamente per garantire
la sicurezza delle informazioni. Il 65% delle aziende - e il 73% tra
le grandi aziende - ha investito in iniziative specifiche negli ultimi
tre anni.
Figura 10: Investimenti in iniziative di information security negli ultimi tre anni
Raggruppando le azioni di sicurezza delle informazioni in tre
categorie incrementali di maturità – “essenziale”, “di base” e
“avanzata” –, risulta che le aziende si focalizzano principalmente
su requisiti essenziali e su azioni di base.
Le iniziative essenziali sono quelle a cui non si può rinunciare se si
vuole raggiungere un livello minimo di sicurezza delle informazioni,
come gli investimenti per gli strumenti e le attrezzature per la
sicurezza delle informazioni (41%) o per la sicurezza fisica e
ambientale (32%). Richiedono particolari tecnologie e
generalmente implicano investimenti considerevoli.
Le iniziative di base rappresentano uno step successivo; si
focalizzano sullo staff o sullo sviluppo di un sistema di gestione e
richiedono livelli medi di investimenti. Le più comuni riguardano
l'assunzione di personale dedicato per la gestione della sicurezza
delle informazioni (40%) e i controlli (35%). Le aziende sono
ancora focalizzate sulla protezione e sulla difesa, anziché sullo
sviluppo di un approccio sistematico di gestione degli aspetti di
information security.
Le iniziative avanzate sono relativamente rare. Includono iniziative
di comunicazione ai propri stakeholder delle problematiche legate
alla sicurezza delle informazioni (12%) o il benchmarking nei
confronti dei competitor (8%). Si tratta di attività che
normalmente non richiedono particolari investimenti. Nell'ambito
dell’information security, quando sono presenti gli elementi
essenziali, le spese necessarie per progredire diminuiscono
progressivamente.
LEADER hanno investito in iniziative di sicurezza delle
informazioni negli ultimi tre anni.
Page 11 of 30
I più attivi sono i nordamericani, con valori al di sopra della media
per tutte le categorie di iniziative. Lo stesso dicasi per le grandi
aziende.
Figura 11 Azioni di information security raggruppate in tre categorie incrementali di maturità: essenziale, base, avanzata
Page 12 of 30
Figura 12: iniziative di information security intraprese dalle aziende
I LEADER fanno registrare valori più elevati per tutte le azioni: essenziali,
base, avanzate.
Tendono a un approccio sistematico. I LEADER non si focalizzano solo sui
requisiti essenziali ma sono anche in grado di investire in azioni più
sofisticate, come attività di audit (71%), implementazione di una
metodologia di gestione e di valutazione del rischio legato alla sicurezza
delle informazioni (71%) e formazione del personale (70%). Anche la
definizione di obiettivi specifici di sicurezza delle informazioni (63%) e la
regolare notifica al top management in merito alla performance relativa
alla sicurezza delle informazioni (61%) raggiungono percentuali di rilievo.
Sebbene le percentuali dei LEADER raggiungano valori pari a tre volte la
media, mantengono bassi punteggi relativamente alle azioni avanzate.
Meno di un'azienda su due rivela i problemi di sicurezza delle informazioni
agli stakeholder e solo il 23% esegue il benchmarking.
Page 13 of 30
ISO 27001:2013
SISTEMI DI GESTIONE DELLA SICUREZZA DELLE INFORMAZIONI (SGSI)
Nel secolo scorso, negli anni ’90, British Standard ha sviluppato uno standard (BS7799) per
documentare e definire i requisiti di un Sistema di Gestione della Sicurezza delle Informazioni. Questo
standard consisteva di due parti: i requisiti e le best practice.
Sulla base dello standard BS7799, il comitato ISO ha sviluppato la norma ISO 27001:2005 e il codice
di pratica ISO/IEC 27002:2005 per i controlli della sicurezza delle informazioni. Da questo momento in
poi questo standard* è stato adottato dalla maggior parte degli organismi di certificazione di tutto il
mondo. Oggi il numero di certificati fa segnare un aumento annuo del 7%, come evidenziato nell'ISO
Survey 2014.
Secondo la citata indagine, in tutto il mondo, sono stati emessi circa 24.000 certificati. Emergono
anche alcune peculiarità. Innovatore nella tecnologia digitale, il Giappone si distingue ad esempio
come uno dei Paesi più avanzati nel settore delle sicurezza delle informazioni; anche il Regno Unito si
posiziona a un buon livello, segnando la crescita più importante in termini assoluti.
Ma che cosa rappresenta per un'azienda l'ottenimento di una certificazione? La certificazione di un
sistema di gestione è l'attività che determina se un’azienda rispetta i requisiti previsti da un
determinato standard. Per ottenere un certificato ISO/IEC 27001 (SGSI) un'azienda viene sottoposta
a revisione (“audit”) da parte di un revisore o di un gruppo di revisori per determinare se è conforme
e solo allora, una volta conforme, viene emesso il certificato.
Le sfide che tipicamente le aziende o le organizzazioni si trovano a dover affrontare
nell'implementazione di un sistema di gestione della sicurezza delle informazioni conforme allo
standard ISO/IEC 27001 sono numerose.
L'analisi dei database DNV GL (elaborazione dei più recenti dati di revisione da tutto il mondo) mostra
che le principali rilevazioni e non conformità riguardano le seguenti clausole di ISO/IEC 27001:
6.2 obiettivi di sicurezza delle informazioni; 9.2 revisioni interne; 9.3 riesame della gestione; A17 gestione della continuità operativa.
6.2 Obiettivi di sicurezza delle informazioni
L'azienda deve stabilire obiettivi misurabili a livelli e funzioni di rilievo, in linea con la policy per la
sicurezza delle informazioni e l'analisi dei rischi. Questi obiettivi devono essere comunicati e si deve stilare un piano per raggiungerli.
Nell'analizzare i risultati si evince che la maggior parte delle aziende hanno difficoltà a definire e a monitorare obiettivi misurabili legati ai sistemi di gestione della sicurezza delle
informazioni: le aziende stanno faticando per definire obiettivi che siano allineati con gli
obiettivi aziendali, i rischi e la continuità operativa.
9.2 Revisioni interne
Ogni sistema di gestione richiede la pianificazione, l'esecuzione e la notificazione delle revisioni interne
per determinare l'effettiva implementazione di un sistema di gestione della sicurezza delle
informazioni.
La maggior parte delle segnalazioni si riferiscono alla mancanza di pianificazione, di esperienza e di competenze relative ai sistemi di gestione della sicurezza delle informazioni all’interno dei team di internal audit aziendali. Questi team dovrebbero avere conoscenze specifiche in
materia di sicurezza delle informazioni.
Page 14 of 30
9.3 Revisione della gestione
Il top management deve revisionare il sistema di gestione della sicurezza delle informazioni a intervalli
programmati per assicurare la sua sostenibilità, adeguatezza ed efficacia. Mediante la valutazione e la
discussione di un insieme definito di aspetti, l'organizzazione deve decidere se il sistema di gestione
della sicurezza delle informazioni necessita di miglioramenti e cambiamenti o se va bene
all'organizzazione, alle sue policy e se è adatto alle analisi dei rischi effettuate.
La maggior parte delle segnalazioni riguarda argomenti mancanti nell'analisi dell'SGSI. Nella documentazione spesso mancano policy, valutazione del rischio, risultati della revisione e monitoraggio degli obiettivi.
A17 Gestione della continuità operativa
I requisiti per la sicurezza delle informazioni (C-Continuità, I-Integrità, A-Availability ossia
Disponibilità) devono essere inseriti nella gestione della continuità operativa dell'organizzazione.
Devono essere sviluppati possibili scenari di crisi e di emergenza, inoltre deve essere istituito ed
eseguito un piano di test per assicurare la continuità operativa durante situazioni di avversità.
Le segnalazioni relative a questo argomento sono tipicamente la mancanza di appropriati scenari di crisi e di emergenza, oltre a un piano di test BCP documentato e monitorato. Esercitazioni di evacuazione e attività di ripristino a seguito di emergenze vengono spesso posticipate o non eseguite.
Gli obiettivi, le revisioni, le analisi e la gestione della continuità sono aree in cui si possono ottenere
miglioramenti significativi; questo è ciò che emerge chiaramente sia dai risultati di questa indagine
Viewpoint, sia dall'analisi delle segnalazioni più frequenti rilevate durante le nostre attività di audit in
tutto il mondo. Le aziende sono ancora focalizzate sulle infrastrutture, con protezione e difesa quali
principali obiettivi. Hanno ancora bisogno di lavorare per sviluppare un approccio di gestione
sistematica della sicurezza delle informazioni.
* Ogni 7-8 anni gli standard ISO vengono aggiornati e rivisti: due anni fa lo standard ISO/IEC 27001:2013 è stato rivisto secondo un approccio differente ai requisiti. Questo nuovo standard si allinea con le ISO 9001 (Gestione della Qualità) e con la ISO 14001 (Gestione Ambientale) e contiene una struttura di alto livello con requisiti ordinari e un allegato con 114 controlli ripartiti in 14 capitoli.
Page 15 of 30
LE PRINCIPALI RAGIONI PER INTRAPRENDERE INIZIATIVE
DI INFORMATION SECURITY
La ragione principale che spinge le aziende a intraprendere
iniziative di information security è la protezione delle informazioni.
Tra le altre ragioni più comuni ci sono la salvaguardia degli asset
aziendali (45%) e la riduzione delle perdite (31%). Un ruolo
rilevante lo giocano anche le policy interne (40%) e la conformità a
leggi e regolamenti (39%).
La possibilità di ottenere un vantaggio competitivo e la reputazione
del brand contano complessivamente per il 28%; le aziende sono
consapevoli che la perdita di informazioni può intaccare il loro
posizionamento.
La pressione esterna – da parte dei consumatori (14%) o da parte
degli stakeholder (13%) – ha una scarsa influenza.
Figura 13: Ragioni che spingono le aziende a intraprendere iniziative di information security
Le percentuali sono più alte, ma le ragioni che motivano i LEADER in sostanza non
cambiano. Salvaguardare il patrimonio aziendale (80%), le policy interne (80%) e
conformità a leggi e regolamenti (79%) sono in cima alla lista.
Tuttavia, sono spinti anche dalla possibilità di ottenere un vantaggio
competitivo/migliorare la reputazione del brand (64%) e dalla pressione da parte degli
stakeholder (25%) e dei clienti (22%) in proporzione molto al di sopra della media.
Inoltre, le raccomandazioni frutto delle attività di audit e la necessità di divulgare le
performance in materia di information security giocano un ruolo rilevante per un
intervistato su quattro.
Page 16 of 30
CONTINUITÀ OPERATIVA E SICUREZZA DELLE INFORMAZIONI
Una panoramica sullo standard ISO 22301 per la gestione della continuità operativa
Uno standard per la gestione della continuità operativa è stato pubblicato per la prima volta nel 2006,
il BS 25999. Da allora si è passati alla scena internazionale nel 2012 con la pubblicazione dell’ISO
22301:2012 (Sicurezza societaria – Sistemi di gestione della continuità operativa). Vale la pena fare
questo riferimento per due ragioni: in primo luogo, ha collocato la continuità operativa su un
palcoscenico globale; in secondo luogo ha aperto la via alla nuova Struttura di Alto Livello per gli
standard ISO.
La Struttura dello standard ISO 22301:2012
1.Scopo
2.Riferimenti normativi
3.Termini e definizioni
4.Contesto dell'organizzazione
5.Leadership
6.Pianificazione
7.Supporto
8.Funzionamento
9.Valutazione della performance
10.Miglioramento
Supporta le organizzazioni di tutte le dimensioni e di tutti i settori nel tenere sotto controllo possibili
interruzioni che possono intaccare l’operatività. Lo standard ISO 22301 adotta un approccio BCM* a 6
elementi in linea con la continuità delle operazioni prevista da un programma aziendale di BC.
Questi 6 elementi sono:
Gestione del programma di continuità operativa;
Inserimento di competenze e consapevolezza;
Comprensione dell'organizzazione;
Selezione delle opzioni di continuità operativa;
Sviluppo e implementazione di una risposta di continuità operativa;
Esercizio e test.
Questi elementi servono a controllare efficacemente i rischi che possono interessare la continuità
operativa e, in particolare, assicurare che qualsiasi elemento rilevante per la sicurezza delle
informazioni venga identificato e gestito durante le interruzioni. I principi chiave di information
security, ossia la riservatezza e la disponibilità dei dati, devono essere presi in considerazione quando
si pianificano le reazioni per ristabilire la continuità. Ciò significa che i team operativi hanno bisogno di
definire quali informazioni è necessario proteggere e quali informazioni devono risultare disponibili
durante uno scenario di emergenza. La continuità nel proteggere i dati è formalmente richiesta
nell'Allegato A dello standard ISO/IEC 27001 per la sicurezza delle informazioni; questo è il motivo
per cui i due standard si integrano molto bene. Lo standard ISO/IEC 27001 per i sistemi di gestione
della sicurezza delle informazioni, attraverso i controlli definiti nell'Allegato A17 evidenzia dove,
nell’ambito del programma di continuità operativa, l'organizzazione dovrebbe assicurare il
soddisfacimento dei requisiti di sicurezza. Lo standard di continuità operativa ISO 22301, valutando gli
impatti sull’attività e dei rischi, contempla quei requisiti di sicurezza in modo che i piani di emergenza
e continuità non solo prevedano la continuità operativa ma la assicurino in modo appropriato.
* L’acronimo BCM indica il Business Continuity Management. BC è l'acronimo di Business Continuity.
Page 17 of 30
PRINCIPALI BENEFICI
Il 40% circa delle aziende non è in grado di rispondere quando
interpellato in merito al rapporto costi/benefici delle azioni
intraprese (le stesse difficoltà sono emerse anche riguardo alla
definizione degli obiettivi). Le grandi aziende sembrano avere le
stesse difficoltà, anche se in misura minore.
Comunque, fra quelle in grado di rispondere, la maggior parte
ritiene che i benefici siano maggiori rispetto ai costi (44%). La
proporzione sale a una su due in Centro e Sud America e nel caso
delle aziende più grandi.
Figura 14: Rapporto costi/benefici
Il beneficio più comunemente percepito derivante dalle azioni di
information security è la riduzione delle perdite (35%). Ciò è
perfettamente in linea con l’emergere della “volontà di protezione
dei beni aziendali” quale ragione principale tra le motivazioni che
spingono le imprese a intraprendere iniziative di information
security.
Proteggere le informazioni potrebbe sembrare “solo un affare
interno”, ma, in realtà, comporta anche diverse ripercussioni
esterne. Le aziende beneficiano anche in termini di conformità alle
leggi e ai regolamenti (32%) e di vantaggio
Per il 60% dei LEADER i benefici sono maggiori dei costi.
Page 18 of 30
competitivo/reputazione del brand (23%). Anche le relazioni
migliorano: il 23% ha riportato un miglioramento nelle relazioni
con i clienti e il 16% nelle relazioni con altri stakeholder.
Il trend è più pronunciato fra le grandi aziende, con percentuali al
di sopra della media per quasi tutte le dinamiche sopra citate.
I LEADER hanno beneficiato molto più degli altri in termini di vantaggi sia interni, sia esterni,
con percentuali pari ad almeno il doppio della media in entrambi i casi.
Figura 15: Benefici derivanti dalle iniziative di information security
Page 19 of 30
PRINCIPALI OSTACOLI
I fattori che impediscono alle aziende di progredire ulteriormente
nel campo della sicurezza delle informazioni sono legati sia alle
ristrettezze economiche, sia al personale. In cima alla lista si
posizionano gli alti costi di implementazione e mantenimento
(33%) e la necessità di dedicarsi ad altre priorità (31%). Seguono
la mancanza di competenza dello staff (23%) e la mancanza di
consapevolezza da parte del management (19%).
Non molti anni fa, la gestione della sicurezza delle informazioni era
considerata una competenza specialistica, oggi si sente
chiaramente il bisogno che diventi trasversale nelle organizzazioni.
La mancanza di competenza è significativa soprattutto in Asia
(33%), mentre per gli europei (16%) e per i nordamericani (10%)
è meno preponderante.
I LEADER gestiscono gli ostacoli meglio degli altri. Gran parte dei fattori si
attestano al di sotto della media, ad eccezione della consapevolezza del
management, che i leader vedono come una importante barriera al progresso.
Figura 16: Ostacoli al progresso nella gestione della sicurezza delle informazioni
Page 20 of 30
AZIONI DI SENSIBILIZZAZIONE
Le aziende non stanno facendo molto per far sapere in che modo si
stanno muovendo per garantire la sicurezza le informazioni. Solo
una azienda su dieci ha pubblicato informazioni nei report aziendali
o in altri documenti ufficiali. Il 9% ha utilizzato una certificazione
di terza parte e una percentuale ancora minore (l’8%) ha inserito
messaggi nelle attività di marketing. Un’ azienda su cinque non ha
intrapreso alcuna azione. Il rapporto aumenta a circa una su tre in
Europa e in Centro e Sud America.
La cautela riguardo alla comunicazione potrebbe essere spiegata
principalmente con la paura di attacchi legati “all’esporsi”, ma
anche dall’assenza di pressioni esterne a comunicare le misure
preventive intraprese.
Figura 17: Azioni di sensibilizzazione
Nei LEADER si riscontrano percentuali molto al di sopra della
media per tutti i tipi di attività di sensibilizzazione. Sono
consapevoli della necessità di comunicare le azioni intraprese.
Page 21 of 30
PRINCIPALI TENDENZE DELL'INDUSTRIA “IT”
Big Data, Cloud Computing e Internet of Things
L'industria IT sta vivendo importanti cambiamenti, permettendo alle organizzazioni – anche le più
piccole – di raggiungere orizzonti che potevano difficilmente immaginare soltanto pochi anni fa. Le
tendenze emergenti sono molte, ma le più importanti sono i “Big Data”, il “Cloud Computing” e
l’“Internet of Things” (IoT). In tutti questi casi si fa leva su concetti come la condivisione delle
informazioni, la costruzione di reti e la creazione di connessioni. Le specifiche e le applicazioni possono
essere molte ma c’è sempre un prerequisito fondamentale: la capacità di proteggere le informazioni,
per prevenire interruzioni, intrusioni e abusi.
BIG DATA
Il termine Big Data si sta diffondendo sempre più nelle diverse aree di business e viene usato per descrivere numerose
operazioni, tutte caratterizzate dalla disponibilità di una quantità di dati troppo estesa per poter essere elaborata da
software e database convenzionali. I sistemi di Big Data sfruttano strumenti tecnologicamente avanzati, tecniche e
integrazioni che consentono confronti complessi, nonché analisi approfondite e più efficaci dei dati. Le aziende che non
sono dotate di sistemi di Big Data non riescono a monitorare le enormi quantità di dati e nemmeno a identificare modelli
derivanti da questi dati.
CLOUD COMPUTING
Il Cloud Computing risponde a uno dei bisogni più impellenti dei nostri tempi: la necessità di trattare ampie quantità di dati
da più luoghi e attraverso più dispositivi. Non è più necessario recarsi in ufficio o affidarsi a sistemi di archiviazione fisica
dei dati. Gli utenti e le aziende possono memorizzare ed elaborare i dati in “data center” ed accedervi attraverso diversi
strumenti grazie ad un’interfaccia Internet.
INTERNET OF THINGS (IOT)
Fra le tendenze dell'IT, l'Internet of Things (“Internet delle cose”) è l'elemento che li riunisce tutti. Questo sistema è basato
su comunicazioni macchina-macchina, sfrutta il cloud computing e le reti di raccolta dei dati. L'Internet of Things (IoT) è un
concept che descrive un futuro dove oggetti di uso quotidiano saranno connessi a Internet e capaci di farsi riconoscere da
altri dispositivi. IoT non è limitato a un settore o ad applicazioni specifici: l'universo di dispositivi connessi via web si sta
diffondendo in ogni area di business e in molti aspetti della vita social. I campi di applicazione vanno dai processi di
produzione industriale, dalla logistica e dall'efficienza energetica al controllo remoto e alla protezione ambientale.
Per ottenere il massimo da queste nuove tecnologie, è fondamentale dare un valore economico alle
informazioni. Essere in grado di calcolare i costi finanziari relativi a ogni danno o perdita di
informazioni stimolerà lo sviluppo di processi di sicurezza.
Aiuterà anche a evitare di conservare dati non necessari o obsoleti, elemento da non sottovalutare,
specialmente in ambienti di Cloud Computing. Nell'utilizzo di soluzioni di Cloud Computing è
fortemente consigliabile prestare particolare attenzione ai carichi di lavoro e alla crittografia. Gli stessi
Big Data aiuteranno nel miglioramento della capacità di rispondere alle minacce. Un approccio
intelligente e analitico all'enorme volume di dati in relazione alle minacce esterne permetterà una
risposta più adeguata, a volte anche automatica, utile anche per la gestione della rivoluzione che
rappresenterà ben presto l’IoT. Con l'avvento dell’IoT, le aziende avranno a che fare con un ampio
numero di dispositivi intelligenti interconnessi con i consumatori all'interno dei loro ambienti. Tutto ciò
comporterà specifici problemi di sicurezza; per questa ragione, la sicurezza delle informazioni deve
diventare parte dello stesso processo di progettazione delle soluzioni IoT, con manager informatici che
consiglino e guidino i progettisti nel campo della privacy e della “cybersecurity”.
Page 22 of 30
UNO SGUARDO AL FUTURO
INVESTIMENTI FUTURI
Tra chi ha risposto, la maggior parte delle società ha in
programma di mantenere o addirittura di aumentare gli
investimenti in information security nei prossimi tre anni; il 43%
intende incrementare gli investimenti rispetto a oggi e la
percentuale sale al 49% tra gli americani.
Il numero di aziende che investiranno di meno o non opereranno
alcun investimento è trascurabile. Tutte le aziende sono
consapevoli del fatto che si tratta di una questione cruciale.
Figura 18: Investimenti futuri
INIZIATIVE FUTURE
In futuro la bilancia si sposterà da azioni essenziali e di base ad
azioni di base e avanzate. Le aziende si muoveranno verso
l’adozione di un sistema di gestione della sicurezza delle
informazioni, piuttosto che focalizzarsi sui requisiti infrastrutturali
essenziali.
Nonostante siano già significativamente impegnate per l’information security, le
aziende LEADER manterranno e incrementeranno gli investimenti anche in futuro.
Page 23 of 30
Tra le iniziative che verranno incrementate in futuro, la maggiore
crescita riguarda la formazione del personale (44%; +13%). Allo
stesso tempo si osserverà un decremento nella definizione di ruoli
manageriali specificatamente dedicati all’information security
(15%; -7%) e nel personale specializzato nella gestione della
sicurezza delle informazioni all’interno dell’organizzazione (31%, -
9%). Le aziende vedono sempre più l’information security come un
atteggiamento da diffondere all’interno dell’organizzazione
piuttosto che come responsabilità di una singola persona o di un
singolo team.
L’implementazione di attività di risk assessment e di una
metodologia di gestione specifiche per la sicurezza delle
informazioni crescerà notevolmente (31%; +6%), così come la
definizione di obiettivi di information security (25%; +8%),
evidenziando lo sviluppo di una tendenza verso un approccio più
sistematico.
Inoltre, anche le azioni più sofisticate registrano un incremento,
come le valutazioni/revisioni della performance (27%, +3%) e il
benchmarking rispetto ai competitors (15%; +7%).
Figura 19: Iniziative di sicurezza delle informazioni future vs. attuali
I LEADER hanno già soddisfatto le necessità essenziali e di base. In futuro si focalizzeranno su
iniziative più avanzate, come il benchmarking con i competitor (31%; +6%). L’attenzione per la
formazione del personale rimane in cima alla lista.
Page 24 of 30
BIG DATA E SICUREZZA DELLE INFORMAZIONI
Quello dei Big Data è uno degli argomenti maggiormente discussi nell’economia globale digitalizzata
dei giorni nostri. “Cosa sono i Big Data?” è una delle domande più comuni che girano nella business
community. Non c’è ancora consenso su una definizione univoca di “Big Data”, e a questo termine si
legano diverse definizioni basate su differenti prospettive. IBM, organizzazione leader nel campo dei
Big Data e degli analytics, definisce i Big Data come segue: “Ogni giorno creiamo 2,5 quintilioni di
byte di dati – così tanti che il 90% dei dati circolanti oggi nel mondo sono stati creati negli ultimi due
anni. Questi dati arrivano da ogni parte: sensori usati per la raccolta di informazioni climatiche, post
sui siti di social media, immagini e video digitali, registrazioni di transazioni commerciali e segnali GPS
dei telefoni cellulari, solo per citare alcuni esempi. Questi dati sono “big data*”. I Big Data sono un
tema sempre più un “caldo” perché elementi comuni si riscontrano ovunque, in tutti i settori
industriali, in ogni Paese, in ogni organizzazione e per ogni utente di Internet e dei dispositivi mobili.
L’abilità di immagazzinare, aggregare e combinare i dati e successivamente utilizzare i risultati per
eseguire analisi approfondite è ora ampiamente diffusa. I Big Data hanno trovato parecchie
applicazioni in diversi settori industriali, come l’apprendimento automatico, l’ottimizzazione di rete, la
ricerca semantica e molti altri ancora. Per esempio, uno dei principali cambiamenti riguardo ai dati è
la nascita di informazioni relative alla localizzazione in tempo reale, che hanno creato un’intera
gamma di servizi basati sulla localizzazione, dalla navigazione alla definizione del prezzo degli
immobili e alle assicurazioni sugli infortuni formulate in base a dove e a come le persone guidano le
proprie auto. Le aziende leader e visionarie stanno iniziando a sviluppare le loro abilità organizzative
riguardo ai Big Data.**
Questa grande quantità di dati permette svariate opportunità e applicazioni, ma allo stesso tempo fa
sorgere seri dubbi per quanto riguarda la privacy individuale, la sicurezza delle informazioni e via
dicendo. Il rischio sociale più ovvio è rappresentato dalle violazioni della privacy. Per di più i Big Data
e le tecnologie stanno diventando sempre più intrusive e troppo complesse da comprendere per una
persona comune. Il consumatore medio oggi non ha alcuna idea né delle informazioni che crea con
ogni click su Internet, né quanto sia al sicuro il dato che egli fornisce. La grande quantità di
informazioni personali creerà indubbiamente un conflitto tra privacy e convenienza.
L’aumento esponenziale dei dati e del loro utilizzo solleva diverse domande interessanti, quali: come
può la società può proteggere se stessa dall’abuso di questi dati? Che tipo di sistemi di
regolamentazione e di conformità sono necessarie per queste attività? Di chi è la responsabilità di
assicurare alle organizzazioni e alla società intera che i dati e le informazioni che le riguardano siano
in modo sicuro? Di quali sistemi di misurazione disponiamo per controllare intrusioni nei dati? E la
domanda più importante: come definiamo la legittimità delle pratiche in questo settore, specialmente
quando le attività e le implicazioni dei Big Data sono così innovative?
In questo campo l’innovazione sta crescendo alla velocità della luce e definire un protocollo legale o di
sicurezza in un ambiente così dinamico non è facile. I Big Data creano sì opportunità ma pongono
anche sfide formidabili per governi e per i settori industriali nella definizione di regolamentazioni
standard per il trattamento dei dati.
*http://www-01.ibm.com/software/data/bigdata/what-is-big-data.html
** Manyika, J., Chui, M., Brown, B., Bughin, J., Dobbs, R., Roxburgh, C., & Byers, A. H. (2011). Big
data: The next frontier for innovation, competition, and productivity.
* http://www-01.ibm.com/software/data/bigdata/what-isbig-data.html
Page 25 of 30
CONSIDERAZIONI FINALI
Viviamo nella cosiddetta era digitale. La tecnologia sta cambiando
positivamente le nostre vite ma pone certamente nuove sfide e
nuovi rischi che non siamo ancora abituati ad affrontare. Basta
citarne alcuni per comprendere la portata della questione.
Gli oggetti dell’era digitale – dagli smartphone agli strumenti che
usiamo in ufficio e ai sistemi di produzione industriale – non sono
ancora progettati per essere sicuri e protetti dagli attacchi
informatici. Per di più il crimine informatico sta diventando una
delle attività più profittevoli per i criminali e, sfortunatamente,
mentre scriviamo, qualcuno sta cercando di trovare nuovi modi di
eludere meccanismi di information security.
Tale scenario è poco rassicurante, ma prendere coscienza dei rischi
è il primo passo per cercare di ridurli. Le aziende stanno iniziando
a capirlo e stanno approntando le loro difese. Oggigiorno hanno
realizzato, ad esempio, che anche un impianto di imbottigliamento
può finire nel mirino dei criminali. Un attacco che causa una
interruzione nei processi di produzione non solo costituisce una
perdita enorme, ma espone l’azienda a nuove forme di ricatto.
Ancora peggio, una violazione per ragioni di spionaggio industriale
può azzerare ogni vantaggio competitivo e vanificare enormi
investimenti.
Sabotaggio criminale a parte, ogni tipo di perdita di informazioni
può influire sul fatturato, dal momento che i processi produttivi
sono sempre più informatizzati.
Le aziende hanno bisogno di ripensare le proprie organizzazioni
tenendo ben presenti queste nuove sfide, partendo dagli elementi
basilari: l’infrastruttura e la cultura. Questo è ciò che fanno i
sistemi di gestione in generale e, specificatamente, i sistemi di
gestione della sicurezza delle informazioni.
La sicurezza delle informazioni può essere definita, gestita e
monitorata utilizzando vari standard, fra questi lo standard
internazionale ISO 27001:2013 è quello a cui più comunemente si
fa ricorso nel mondo. Il numero di aziende che usano questo
standard e stanno lavorando per ottenere una certificazione di
terza parte sta crescendo approssimativamente del 7% all’anno.
Gli elementi di base per implementare un Sistema di Gestione della Sicurezza delle Informazioni
(SGSI) in linea con i requisiti ISO 27001:2013 può essere sintetizzato in 10 step:
Step 1: Studio dei requisiti dello standard ISO 27001:2013, delle linee guida associate, delle norme e
dei regolamenti applicabili all’organizzazione.
Step 2: Ottenimento dell’impegno, del supporto, del budget e dell’approvazione del top management
per l’avviamento di un progetto di SGSI.
Page 26 of 30
La certificazione è un passaporto per il mercato. Una spinta
importante, principalmente per le nuove opportunità di business.
Per le aziende è utile per dimostrare di aver adottato tutte le
misure necessarie per assicurare l’integrità dei dati e dei sistemi.
L’ISO 27001:2013 è un eccellente strumento per rafforzare la
sicurezza delle informazioni, ridurre il possibile rischio di frode, di
perdite e fughe di informazioni.
Contribuisce altresì alla diffusione nell’organizzazione della cultura
della sicurezza delle informazioni. La sicurezza delle informazioni
oggigiorno non è più responsabilità di un singolo individuo o di un
singolo gruppo di lavoro ma di tutti i livelli del management. Con
l’implementazione di un sistema di gestione della sicurezza delle
informazioni in linea con la serie di standard ISO 27000,
l’organizzazione nel suo insieme è meglio attrezzata per gestire
tutti i rischi connessi e ottenere il massimo, in termini di riduzione
di violazioni e perdite e in termini di miglioramento del giudizio da
parte delle compagni assicurative. Inoltre l’adozione di un sistema
di gestione della sicurezza delle informazioni è lo strumento più
indicato su cui fare affidamento per lavorare al miglioramento
continuo.
Step 3: Definizione delle politiche per la sicurezza delle informazioni, degli obiettivi, dei ruoli, delle
responsabilità e dell’ambito di applicazione (strutture, processi, risorse) per il SGSI.
Step 4: Definire e documentare la metodologia di valutazione del rischio, focalizzata sulla
Riservatezza, l’Integrità e la Disponibilità (RID) delle informazioni nell’azienda. La metodologia è
finalizzata a identificare i criteri e i livelli di accettazione, la stima dei rischi e le possibili azioni di
mitigazione dei rischi.
Step 5: Identificare, analizzare e stimare le minacce rilevanti e il possibile impatto sull’organizzazione
di incidenti e crisi inerenti alla sicurezza delle informazioni, stima dei livelli di rischio (inclusi i livelli di
accettabilità dei rischi).
Step 6: Definire le azioni di riduzione del rischio nell’ambito del piano di risk management e gli
obiettivi, in linea con i criteri di accettabilità e i requisiti determinati da norme e regolamenti in
materia e dai contratti con i clienti.
Step 7: Creare il piano finale di implementazione dell’SGSI che includa i formati e i modelli applicabili,
il piano di gestione del rischio, l’implementazione dei controlli, le sessioni di sensibilizzazione del
personale e le azioni necessarie per l’implementazione.
Step 8: Formare il personale e assegnare le risorse, i sistemi, i processi e le attività per garantire il
corretto funzionamento dell’SGSI secondo quanto definito.
Step 9: Pianificare ed eseguire controlli interni, revisioni di gestione e azioni di miglioramento per
determinare la conformità con i requisiti e identificare i possibili miglioramenti del sistema.
Step 10: Avviare il processo di certificazione di terza parte e considerare di intraprendere un audit
preliminare per avere un’idea sullo stato dell’SGSI e permettere al personale dell’organizzazione di
familiarizzare con l’applicazione e il rispetto di quanto richiesto.
Page 27 of 30
IDENTIFICARE I LEADER
Le aziende leader sono un passo avanti nella gestione della
sicurezza delle informazioni. Adottano strategie di information
security e stabiliscono obiettivi concreti, nonostante le difficoltà di
misurazione.
Investono significativamente in information security e, sebbene
abbiano ancora da lavorare su qualcuno degli aspetti più avanzati,
non si focalizzano solo su requisiti essenziali, fondamentali per la
protezione dei dati, ma puntano anche su azioni più sofisticate,
come le attività di audit, l’implementazione di attività di
assessment e di metodologie per la gestione dei rischi e la
formazione del personale.
I LEADER stanno già passando da un atteggiamento difensivo a
uno sistemico e proattivo. Sono stati capaci di incorporare la
gestione della sicurezza delle informazioni nelle loro pratiche
quotidiane e di diffondere tale cultura nell’intera organizzazione.
In questo modo le aziende LEADER ottengono significativi benefici,
non solo in termini di riduzione delle perdite ma anche in termini di
vantaggi esterni, come il vantaggio competitivo e il miglioramento
delle relazioni con i clienti e gli altri stakeholder.
L’APPROCCIO DEI LEADER ALLA SICUREZZA DELLE
INFORMAZIONI
1. I LEADER considerano i problemi di sicurezza delle informazioni
nelle loro strategie di business.
2. I LEADER stabiliscono obiettivi di sicurezza delle informazioni.
3. I LEADER investono considerevolmente per l’information
security.
4. In aggiunta a iniziative focalizzate su requisiti essenziali, i
LEADER intraprendono azioni più sofisticate, come le attività di
audit l’implementazione di attività di assessment e di
metodologie per la gestione dei rischi e la formazione del
personale.
5. L’approccio dei LEADER non è solamente difensivo ma
sistemico.
6. La protezione dei dati non è l’unica ragione che motiva i
LEADER a intraprendere iniziative per la sicurezza delle
informazioni. Sono motivati dalla prospettiva di guadagnare un
vantaggio competitivo dal miglioramento della reputazione del
brand, e dalla pressione degli stakeholder.
7. I LEADER guadagnano molto di più dalle iniziative per la
gestione delle informazioni rispetto agli altri.
Page 28 of 30
8. I LEADER possono superare meglio degli altri gli ostacoli
inerenti la sicurezza delle informazioni.
9. I LEADER comunicano ciò che fanno per la sicurezza delle
informazioni.
10. I LEADER pensano di mantenere e aumentare in futuro gli
investimenti in materia di sicurezza delle informazioni.
Page 29 of 30
SCHEDA ITALIA
Quando si ha a che fare con la sfera personale, il tema
dell’information security è (leggermente) più sentito in Italia
che nel resto del mondo. I professionisti italiani intervistati,
infatti, ritengono che il tema possa avere un impatto sulla
“propria vita quotidiana” (79%; + 3%*), sul “proprio Paese”
(89%; +6%) e sul “mondo nel suo complesso” (85%; +4%).
L’85% delle aziende italiane (+4% rispetto alla media globale
e +5% rispetto alla media europea) ritiene che l’information
security sia una tematica chiave per le proprie strategie
aziendali.
Grossomodo in linea con la media europea (45%), il 47% degli
italiani intervistati ritiene che la propria azienda sia avanzata
in materia di information security (mentre la media globale è
pari al 40%).
In linea con la media globale, il 58% delle aziende italiane
adotta già strategie ad hoc di information security. Tuttavia,
solo il 25% (-2%) si pone obiettivi misurabili.
Il 62% delle aziende italiane ha investito in iniziative di
information security negli ultimi 3 anni (-3%).
Tra le iniziative relative all’information security intraprese dalle
aziende italiane, le più diffuse sono l’investimento in risorse e
strumentazioni ad hoc (45%; +4), l’adozione di policy per la
sicurezza delle informazioni approvate dal top management
(36; +2%) e la formazione del personale (33; +2%). Anche la
diffusione di tutte le altre iniziative è grossomodo in linea con
quanto avviene nel resto del mondo, con una eccezione. Le
aziende italiane si discostano ampiamente dalla media globale
riguardo alla presenza di professionalità adeguate per la
gestione dell’information security (19%; -21%).
Tra le ragioni che motivano le aziende italiane a intraprendere
iniziative di information security, la compliance normativa
gioca un ruolo di spicco (53%; +14%). Seguono le policy
interne (36%; -4%), la volontà di proteggere gli asset
aziendali (36%, -9%) e infine la volontà di ridurre le perdite di
informazioni e i relativi costi (24%; -7%).
Il 37% (- 7%) delle aziende italiane riporta, relativamente alle
iniziative di information security, benefici superiori ai costi
sostenuti. Riguardo ai benefici derivanti dalle azioni intraprese,
i tre più citati, in linea con quanto succede a livello globale,
sono il miglioramento della compliance normativa (45%,
Page 30 of 30
+13%), la riduzione delle perdite dovute alle violazioni della
sicurezza delle informazioni (21%, -14%) e un maggior
vantaggio competitivo/miglioramento della reputazione (21%,
-2%).
Uno dei fattori che viene riportato tra i maggiori ostacoli per
l’attuazione di iniziative per la sicurezza delle informazioni in
Italia è la necessità di destinare risorse ad altre priorità (44%;
+13%). L’istituzione e la manutenzione delle iniziative di
information security, inoltre, viene indicata come troppo
costosa da 1 intervistato su 4. (-8%). Per il 21% (+6%) non
esiste alcun tipo di impedimento.
L’11% delle aziende italiane ha comunicato le iniziative di
information security intraprese facendo ricorso alla
certificazione di terza parte, l’8% ha pubblicato informazioni
nei report aziendali.
A testimonianza del progressivo riconoscimento
dell’importanza della sicurezza delle informazioni, l’80% degli
intervistati ha risposto che aumenterà o manterrà i propri
investimenti in information security. In particolare, il 42%, in
linea con la media globale (42%) e quella europea (43%),
incrementerà le risorse destinate a questo scopo.
Gli investimenti verranno impiegati per lo più per la
formazione del personale (38%; -6%) e per dotarsi di risorse
e strumenti ad hoc per l’information security (36%; +2%).
Il campione italiano è composto da 151 aziende.
*Dove non specificato diversamente, i confronti riportati fanno riferimento alla media delle risposte da parte delle aziende a livello global.