Sondaggio sulla sicurezza dei dati 2016 di Delli.dell.com/.../it/Documents/Sondaggio_sulla_sicurezza_2016_IT.pdf · La sicurezza dei dati è diventata una priorità per i massimi

Sondaggio sulla sicurezza dei dati 2016 di DellRELAZIONE COMPLETA

La sicurezza dei dati è divenuta un argomento centrale nei consigli di amministrazione in tutto il mondo. Per anni ha avuto un ruolo secondario, nonostante i tentativi dei dirigenti dell’IT di convincere i team aziendali dell’importanza cruciale e prioritaria della sicurezza dei dati nel processo decisionale. Attualmente, i responsabili delle decisioni aziendali e dell’IT concordano nel sostenere l’importanza della sicurezza dei dati nelle società, sottolineando non solo l’aspetto della protezione, ma anche le opportunità.

La strada è ancora lunga. Pur riconoscendo i vantaggi della sicurezza dei dati, le società hanno difficoltà a sviluppare programmi in grado di integrare con efficacia questo aspetto senza compromettere altre iniziative aziendali. Benché utilizzino strumenti specifici per le esigenze di sicurezza dei dati, le società segnalano ancora delle incertezze correlate all’implementazione o all’espansione di programmi basati su queste tecnologie.

Nel mese di novembre 2015 Dell ha commissionato un sondaggio per ottenere una visione completa di come i responsabili delle decisioni dell’IT del mercato di fascia media e i massimi dirigenti delle società valutino le tendenze nell’ambito della sicurezza e il relativo impatto di queste sulle loro attività. I risultati includono le risposte di oltre 1.300 responsabili delle decisioni aziendali e dell’IT di sette paesi.

Alcuni risultati sono sorprendenti. Molti altri hanno fornito cifre importanti a convalida delle tendenze osservate tra i clienti e i partner di Dell. Nel primo sondaggio sulla sicurezza dei dati di Dell questi dati sono stati distillati per condividere le preoccupazioni specifiche sulla sicurezza dei dati condivise dalle aziende nel mercato di fascia media.

GLI ARGOMENTI TRATTATI COPRONO DIVERSE TENDENZE CHIAVE, TRA CUI:

METODOLOGIAPenn Schoen Berland ha realizzato un sondaggio online tra 1.302 partecipanti del settore commerciale negli Stati Uniti, in Europa e nell’area Asia-Pacifico, incluso il Giappone. I partecipanti erano responsabili delle decisioni aziendali e dell’IT. La ricerca è stata realizzata dal 19 novembre all’8 dicembre 2015.

I responsabili delle decisioni aziendali e dell’IT sono sempre più informati sulla sicurezza dei dati, ma molte aziende devono fare ulteriori passi avanti per proteggere adeguatamente la propria attività.

La sicurezza dei dati è diventata una priorità per i massimi dirigenti aziendali, ma la prevenzione delle minacce rimane un problema.

Nonostante il crescente appoggio dei dirigenti, i reparti di IT necessitano di maggiore supporto per la completa integrazione della sicurezza dei dati.

I malware e gli attacchi usati come armi tengono svegli la notte i responsabili delle decisioni aziendali e dell’IT.

I datori di lavoro ritengono che la protezione dei dati implichi la riduzione della mobilità.

I partecipanti considerano a rischio i dati nelle piattaforme di cloud pubblico.

1.

2.

3.

4.

5.

Sondaggio sulla sicurezza dei dati 2016 di Dell 02

INTRODUZIONE


La sicurezza dei dati è diventata prioritaria per i massimi dirigenti aziendali, ma la prevenzione delle minacce rimane un problema.

Benché la dirigenza sia più coinvolta nella sicurezza dei dati rispetto al passato, i team dell’IT ritengono che i dirigenti

non dedichino ancora le energie e le risorse necessarie per affrontare al meglio le sfide presentate da questa

problematica.

Secondo il sondaggio, circa tre responsabili delle decisioni su quattro concordano che la sicurezza dei dati sia una

priorità per i massimi dirigenti della loro organizzazione, ma sono preoccupati che questi non prestino sufficiente

attenzione e non siano bene informati sui problemi e sugli strumenti relativi alla stessa. In effetti, un responsabile

delle decisioni su quattro ritiene che i dirigenti della sua società non siano informati sui problemi della sicurezza dei

dati, secondo circa un terzo (32 percento) dei responsabili delle decisioni aziendali e un responsabili delle decisioni

dell’IT su cinque.

Se non vi è convergenza nel loro sviluppo, le strategie aziendali e quelle per la sicurezza informatica sono destinate

al fallimento. Ad esempio, un team di IT crea una strategia di sicurezza completa per la sede centrale, garantendo

la protezione totale della rete, la manutenzione periodica dei dispositivi dei dipendenti e la regolarità dele attività di

formazione e delle comunicazioni. Se, tuttavia, in seguito l’AD annuncia che i dipendenti possono lavorare da casa,

si apre un vuoto di sicurezza cruciale. Analogamente, anche se un programma di IT è completamente protetto

dalle minacce nazionali, l’eventuale integrazione commerciale con società estere genera un rischio. In altre parole,

la sicurezza informatica non è un mero esercizio tecnico, ma un imperativo aziendale da integrare nelle nuove

iniziative fin dal principio.

Le conclusioni mostrano inoltre che tre responsabili delle decisioni su quattro affermano che i massimi dirigenti

intendono aumentare le attuali misure di sicurezza e più della metà prevedono un aumento della spesa in sicurezza

dei dati nei prossimi cinque anni. I costi costituiscono tuttavia un problema per l’utilizzo dei programmi di sicurezza

esistenti: il 53 percento indica i vincoli di costi come motivo per la mancata aggiunta di altre funzionalità di sicurezza

in futuro e solo un responsabile delle decisioni su quattro ripone fiducia nella capacità dei massimi dirigenti di

destinare un budget sufficiente alle soluzioni per la sicurezza dei dati nei prossimi cinque anni.

Queste cifre indicano che la dirigenza deve essere più coinvolta nell’integrazione delle strategie di sicurezza dei

dati dell’azienda. La consapevolezza della necessità di investire nell’infrastruttura di sicurezza non si traduce, però,

nell’aggiornamento o nell’espansione dei sistemi correnti per prevenire adeguatamente gli attacchi moderni.

Ciò suscita preoccupazione nei team di IT. L’infrastruttura esistente può costituire una base per la sicurezza dei

dati, ma le minacce progrediscono e aumentano ogni anno, così come i mezzi con cui si diffondono, intrinseci

nell’ambiente aziendale. Nel complicato mondo odierno sempre connesso, l’unico modo per prevenire le violazioni

è un programma di sicurezza che difenda i sistemi in profondità e sotto ogni aspetto. Per allineare in modo ottimale

l’azienda e l’IT, i massimi dirigenti devono andare oltre una comprensione sbrigativa della sicurezza dei dati per

arrivare a integrarla nelle fasi di pianificazione.

Ciò non implica che la sicurezza debba limitare le iniziative aziendali. Al contrario, i team della sicurezza devono fare

il possibile per sostenere l’evolversi dell’attività. È tuttavia cruciale riconoscere che, per sostenere adeguatamente

le iniziative aziendali, i team di IT devono essere coinvolti nelle sessioni di pianificazione delle attività e disporre di

un’infrastruttura e di soluzioni moderne.

PUNTI PRINCIPALI

01/


Nonostante il crescente appoggio dei dirigenti, i reparti di IT necessitano di

maggiore supporto per la completa integrazione della sicurezza dei dati.

L’assunzione di personale rappresenta una continua sfida per i team di IT che devono ricoprire un numero crescente

di incarichi man mano che le iniziative aziendali richiedono sempre più supporto. La mancanza di investimenti in

tecnologie semplificate e la carenza di personale competente sono ostacoli per la messa a punto di programmi per la

sicurezza dei dati.

La maggior parte dei responsabili delle decisioni (58 percento) crede che la società in cui opera venga danneggiata

dalla carenza di professionisti della sicurezza qualificati sul mercato che potrebbe portare all’uso di tecniche e

procedure antiquate.

Analogamente, il 69 percento dei responsabili delle decisioni vede ancora la sicurezza dei dati come un fardello in

termini di tempo e budget. Ciò indica che le aziende considerano la sicurezza dei dati come un ripensamento, non

come un processo capace di aumentare la mobilità. Più che essere un semplice atteggiamento mentale, i vincoli di

costi e tempi generalmente associati alle soluzioni antivirus tradizionali continuano ad avere un impatto negativo sui

reparti di IT.

PUNTI PRINCIPALI

02/


I malware e gli attacchi usati come armi tengono svegli la notte i

responsabili delle decisioni aziendali e dell’IT.

Circa tre responsabili delle decisioni su quattro (73 percento) si dicono da leggermente a molto preoccupati per il

malware e le continue minacce avanzate, anche se la maggior parte utilizza già un software antimalware per garantire

la sicurezza dei dati dell’organizzazione. La preoccupazione per le minacce di malware è maggiore negli Stati Uniti

(31 percento molto preoccupato), in Francia (31 percento molto preoccupato) e soprattutto in India (56 percento

molto preoccupato), mentre è una preoccupazione meno sentita in Germania (11 percento molto preoccupato) e in

Giappone (12 percento molto preoccupato). Solo un responsabile delle decisioni su cinque è fiducioso nelle proprie

capacità di proteggere l’attività da attacchi di malware complessi.

Inoltre, la mancanza di consapevolezza da parte dei dipendenti è percepita come un grave rischio. I partecipanti sono

più preoccupati per gli attacchi di spear phishing (73 percento preoccupato) che per altri tipi di violazione.

La preoccupazione delle società per il malware e altri attacchi esterni ha motivazioni fondate: gli attacchi informatici

non diminuiscono né nel numero né nell’efficacia. In effetti, Dell SonicWALL ha individuato un numero di firme di

malware univoche doppio nel 2015 rispetto al 2014 e il costo medio delle violazioni dei dati è aumentato di $ 300.000.

I software antimalware sono estremamente diffusi, quindi a cosa è dovuto questo vuoto di sicurezza?

La risposta, di nuovo, è da ricercarsi negli strumenti datati e inefficaci e nelle strategie non allineate. Quando i team di

IT non dispongono delle risorse o dell’integrazione aziendale di cui necessitano per implementare strategie preventive,

sono costretti a giocare in difesa affidandosi solo al rilevamento delle minacce. È una scelta rischiosa: se un dispositivo

viene compromesso, è possibile che non causi danni agli altri asset dell’organizzazione prima che il team si accorga

del problema e rimuova la minaccia. Se è il dispositivo del CIO a essere violato, tuttavia, un concorrente potrebbe

avere accesso ai piani di produzione. I dati dei clienti e altre informazioni riservate potrebbero essere presenti nel

dispositivo o accessibili attraverso l’applicazione di e-mail. Anche se la violazione si fermasse qui, l’organizzazione

rischierebbe una perdita di diversi milioni di dollari.

Inoltre, l’impegno necessario per arginare i danni dopo un attacco può essere estenuante, soprattutto dato il numero

di attacchi perpetrati ogni mese. Oltretutto, più aumenta il numero di malware che superano le difese dell’IT, più

cresce il numero di dipendenti che contattano l’help desk per chiedere assistenza, con un ulteriore esborso per la

società in termini di denaro e ore di lavoro.

Nell’attuale panorama a elevato rischio di minacce, un programma di sicurezza reattivo non è una scelta conveniente.

L’infrastruttura moderna è progettata per individuare e prevenire gli attacchi di malware, proteggere i dati sensibili

dell’organizzazione, anche nel caso di perdita o furto di un dispositivo. Ovviamente, anche la formazione dei

dipendenti ha un ruolo essenziale, perché solo la consapevolezza delle minacce comuni consente ai dipendenti di

non cadere vittima dei raggiri di spear phishing o di evitare altri comportamenti rischiosi.

PUNTI PRINCIPALI

03/

Nonostante questa visione opprimente dei programmi per la sicurezza dei dati, circa la metà (49 percento) dei

responsabili delle decisioni ritiene di dover dedicare più tempo alla protezione dei dati nei prossimi cinque anni

rispetto a oggi. I team di IT sono consapevoli di dover raggiungere un livello più alto di efficacia, ma questo obiettivo

sembra schiacciante

È importante notare che il 76 percento ritiene che le soluzioni sarebbero meno gravose se offerte da un unico

fornitore. Per le società con centinaia o migliaia di dipendenti, la gestione separata di ciascun endpoint con diverse

console è del tutto inefficiente e aumenta in modo considerevole la probabilità di errori da parte degli utenti.

L’implementazione di una sola suite integrata per la gestione dell’IT può migliorare drasticamente il processo


I datori di lavoro ritengono che la protezione dei dati implichi la riduzione

della mobilità.

Si afferma comunemente che tutti gli uffici sono sempre più mobili, ma la realtà è un po’ più complessa. Risulta che

circa l’82 percento dei responsabili delle decisioni abbia tentato di limitare i punti di accesso ai dati per migliorare la

sicurezza e solo il 18 percento abbia la certezza che i dati siano protetti quando i dipendenti vi accedono in remoto.

Inoltre, il 72 percento dei responsabili delle decisioni crede che per rendere più efficaci le misure di protezione dei

dati sia importante conoscere la posizione da cui vi si accede.

Per le aziende la sicurezza ha una priorità maggiore rispetto alla flessibilità dei dipendenti: il 67 percento è riluttante

ad avviare un programma BYOD (Bring Your Own Device, uso di dispositivi personali) e il 65 percento non mette in

atto i piani per rendere più mobili i dipendenti per motivi di sicurezza. Inoltre, il 69 percento dei partecipanti afferma

di essere disposto a sacrificare i dispositivi individuali per proteggere la società da una violazione dei dati.

In teoria, le società riconoscono l’esigenza di attuare un programma di mobilità. Tralasciando le preoccupazioni sulla

sicurezza, due partecipanti su cinque sono interessati a incrementare la mobilità per migliorare l’esperienza utente

dei dipendenti. Possono non capire, tuttavia, che inasprire i controlli dell’accesso mobile è come tentare di rimettere

PUNTI PRINCIPALI

04/


PUNTI PRINCIPALI

il dentifricio nel tubetto. Circa la metà dei millennial si aspetta di poter svolgere il lavoro su dispositivi mobili e, in

effetti, il 43 percento della forza lavoro lo fa di nascosto, anche se la società non ha in atto alcun programma per

la mobilità. Così, quando le società decidono di non creare programmi per la mobilità sicuri e autorizzati, aprono le

porte a rischi ancora maggiori. Chi riesce a bloccare l’accesso ai dati eliminando la flessibilità dell’ambiente di lavoro

rischia di perdere i dipendenti migliori.

Con le soluzioni di sicurezza dei dati tradizionali, le società supportano la crittografia dei dati archiviati su un PC o un

dispositivo mobile o nel cloud. Ma i dati non rimangono sempre in archivio, vengono spostati, condivisi e utilizzati.

Le società, quindi, devono crittografare i dati in tutte le modalità di utilizzo, come e-mail, condivisione e apertura di

file e così via. Le società devono anche conservare i diritti di gestione per controllare quali informazioni vengono

copiate e incollate, condivise o stampate e chi esegue queste operazioni. I team di sicurezza devono pianificare la

protezione per l’intero ciclo di vita.

Il sondaggio ha inoltre rilevato che il 57 percento dei partecipanti è preoccupato per la qualità della crittografia

utilizzata dalla società. La soluzione consiste nell’utilizzare un software di crittografia intelligente in grado di

proteggere i dati archiviati, in movimento o in uso. La crittografia intelligente viaggia con i dati, non solo con il

dispositivo, agevolando così la messa in sicurezza degli endpoint da parte delle società. Questa e altre soluzioni

predisposte per la mobilità permettono la coesistenza della mobilità e della sicurezza con la moderna tecnologia

per la protezione dei dati. Ciò che non può coesistere oggi sono le restrizioni ingiustificate e la soddisfazione dei

lavoratori.


PUNTI PRINCIPALI

I partecipanti considerano a rischio i dati nelle piattaforme di cloud

pubblico.

Con un numero crescente di lavoratori che utilizzano i servizi di cloud pubblico come Box e Google Drive sul posto

di lavoro, le aziende temono di non poter controllare i rischi posti da queste applicazioni. Circa quattro partecipanti

su cinque sono preoccupati per il caricamento di dati critici nel cloud e il 58 percento è effettivamente più

preoccupato rispetto a un anno fa.

Come per la mobilità, le società adottano un approccio al problema basato sulle limitazioni, anziché sulle

concessioni. Il 38 percento dei responsabili delle decisioni ha accesso limitato alle risorse del cloud pubblico

all’interno della propria organizzazione per preoccupazioni legate alla sicurezza. Inoltre, il 57 percento dei

responsabili delle decisioni che attualmente utilizzano il cloud e il 45 percento di coloro che intendono utilizzare

piattaforme di cloud pubblico si affideranno in gran parte a fornitori di cloud per la sicurezza.

05/

Forse l’aspetto più sorprendente delle risposte al sondaggio è stato il tema ricorrente della sicurezza vista come

peso, elemento di apprensione o imperativo per cui occorre compiere difficili sacrifici. In realtà, le soluzioni per la

sicurezza dei dati si sono evolute per coesistere in armonia con altri obiettivi aziendali, sostenendo piuttosto che

ostacolare la produttività e la redditività.

La crescente attenzione prestata alla sicurezza dei dati è un aspetto promettente. I professionisti della sicurezza dei

dati, tuttavia, devono proseguire il processo formativo dei massimi dirigenti, dissipando i pregiudizi e presentando

alle società la varietà di strumenti e opportunità disponibili.

È IMPORTANTE PARTIRE DALLA BASE:

I programmi di sicurezza devono progredire, così come accade per gli obiettivi aziendali. I team di IT devono

affrontare sfide più complesse che mai, ma hanno a disposizione tecnologie più sofisticate. La sicurezza non

deve compromettere la produttività, la crescita o l’evoluzione delle opportunità commerciali. Se affrontata con

consapevolezza e adeguatamente supportata in termini di budget e appoggio, la sicurezza può dare il giusto slancio

anche alla dirigenza aziendale più innovativa.

Verificare che i team della sicurezza siano coinvolti nelle iniziative aziendali dal principio – Le strategie

aziendali e di sicurezza hanno successo solo se sono allineate.

Adottare tecnologie moderne per prevenire le minacce – I sistemi legacy o quelli creati solo per rilevare le

violazioni non sono adatti a proteggere i dati critici nell’ambiente attuale costantemente minacciato.

Proteggere i dati, non solo gli endpoint – L’uso della crittografia intelligente che viaggia con i dati riduce

notevolmente le possibilità che un pirata informatico riesca a utilizzare i dati compromessi.

Investire in una sola suite integrata che offra le migliori funzionalità – La riduzione del peso della gestione

degli endpoint per il team di IT permette di ridurre costi ed errori degli utenti.

•

•

•

•

Conclusione

Dati i vantaggi per la produttività e la collaborazione che molte aziende del mercato di fascia media possono

ottenere dalle soluzioni di cloud pubblico, è preoccupante che solo una società su tre indichi il miglioramento

dell’accesso sicuro agli ambienti di cloud pubblico come punto centrale dell’infrastruttura di sicurezza. E questo

nonostante l’83 percento affermi che i dipendenti utilizzano, o utilizzeranno presto, ambienti di cloud pubblico per

condividere e archiviare dati preziosi.

Con la crittografia dei dati intelligente, anche in caso di un attacco riuscito a Box o Google Drive, i dati a cadere nelle

mani degli hacker sarebbero crittografati, pertanto illeggibili. Se il programma di sicurezza della società si attiene alle

migliori prassi, gli hacker dovrebbero anche avere le credenziali di accesso di un dipendente autorizzato, oltre al

dispositivo utilizzato dal dipendente stesso per poter decrittografare le informazioni.

I programmi di sicurezza devono garantire ai dipendenti sicurezza e produttività, quindi le tecnologie di supporto

al lavoro devono essere autorizzate non limitate. Le società possono cercare di limitare o vietare l’uso del cloud

pubblico, ma è più proattivo ed efficace proteggere i dati ovunque si trovino.

PUNTI PRINCIPALI
