Sicurezza informatica: nuove normative

Il problema della sicurezza informatica, la gran quantità di nuove normative, le prossime scadenze della legge sulla privacy, e le conseguenze derivanti dalla loro mancata osservanza, sono oggetto di uno studio pubblicato da Ernst & Young (‘Global Information Security Survey’) dopo aver intervistato 1.300 organizzazioni di 55 Paesi, due terzi delle quali vedono nelle leggi come l’americana Sarbanes-Oxley o l’ottava direttiva europea il driver per la sicurezza delle informazioni anziché il dilagare di worm e virus.
Il nostro Paese, pur allineandosi abbastanza ai risultati a livello mondiale, presenta alcune specificità: per esempio le aziende italiane concordano nell’individuare nella legge sulla privacy il principale fattore di impulso allo sviluppo di strategie di sicurezza IT. Tale orientamento ha dominato in Italia gli ultimi 12 mesi, secondo il 94% delle aziende interpellate e, per l’80% di esse, catalizzerà attenzione e investimenti anche nel 2006, nonostante il 68% abbia già progetti in corso per ottemperare ai requisiti del nostro ordinamento sulla privacy.
In generale, però, “la conformità alle normative è stato un elemento di distrazione piuttosto che di focalizzazione nell’ambito della sicurezza delle informazioni all’interno delle aziende – afferma Fabio Merello, partner di Ernst & Young in Italia responsabile della business unit Solution Technology and Security Risk Services -. Si potrebbe infatti presumere che, vista tutta l’attenzione posta sulla sicurezza delle informazioni per effetto delle attività di adeguamento alle normative, l’atteggiamento delle aziende verso la protezione delle stesse stia migliorando e la sicurezza delle informazioni stia diventando una funzione integrante delle loro iniziative strategiche. Purtroppo così non accade, almeno su vasta scala”. Infatti ben l’85% delle aziende italiane hanno già attuato o stanno attuando politiche e procedure di sicurezza; e il 77% sta conducendo interventi di formazione e sensibilizzazione. Ma ciò significa un allineamento ai requisiti normativi dal punto di vista tecnologico, mentre c’è ancora molto da fare dal punto di visto organizzativo, procedurale e in materia di sensibilizzazione e formazione – attività che richiedono tempi piuttosto lunghi. Inoltre l’attenzione tende a concentrarsi sulle competenze tecniche degli specialisti in sicurezza IT (nel 61% dei casi) e del personale IT (sempre nel 61% dei casi), mentre gli aspetti strategici rappresentano un’opportunità solo per un terzo del campione nazionale, contro il 44% del campione europeo.
L’indagine Ernst & Young ha inoltre rilevato come l’adozione rapida e su vasta scala di varie tecnologie emergenti, come quelle mobili, il VoIP, il software open source e la virtualizzazione dei server sono motivo di preoccupazione per meno del 20% delle aziende intervistate, quando in realtà costituiscono gravi minacce alla sicurezza. Per esempio nel caso dei dispositivi mobili, funzionando fuori dagli ambienti controllati delle aziende, la protezione delle proprietà intellettuali e del patrimonio di informazioni in esse contenuto è sempre più frequentemente lasciata alla responsabilità dei singoli individui. Responsabilità che molte aziende non prevedono ancora completamente come propria: meno della metà delle aziende, infatti, ha fornito ai propri utenti indicazioni sui problemi di sicurezza che queste tecnologie comportano.
Anche l’outsourcing può costituire una minaccia per la sicurezza in mancanza di un’analisi periodica delle procedure e prassi cui sono sottoposti i prodotti e i servizi dei fornitori, al fine individuarne i rischi. Eppure un quinto delle aziende non ha mai considerato il problema della gestione dei rischi derivanti dai fornitori, mentre un terzo ha dichiarato di adottare solo procedure informali. In Italia, solo il 25% dichiara di selezionare i fornitori in base a certificazioni nell’ambito della sicurezza IT.