Sondaggio sulla sicurezza dei dati 2016 di Dell - RELAZIONE COMPLETA
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
INTRODUZIONE I responsabili delle decisioni aziendali e dell’IT sono sempre più informati sulla sicurezza dei dati, ma molte aziende devono fare ulteriori passi avanti per proteggere adeguatamente la propria attività. La sicurezza dei dati è divenuta un argomento centrale nei consigli di amministrazione in tutto il mondo. Per anni ha avuto un ruolo secondario, nonostante i tentativi dei dirigenti dell’IT di convincere i team aziendali dell’importanza cruciale e prioritaria della sicurezza dei dati nel processo decisionale. Attualmente, i responsabili delle decisioni aziendali e dell’IT concordano nel sostenere l’importanza della sicurezza dei dati nelle società, sottolineando non solo l’aspetto della protezione, ma anche le opportunità. La strada è ancora lunga. Pur riconoscendo i vantaggi della sicurezza dei dati, le società hanno difficoltà a sviluppare programmi in grado di integrare con efficacia questo aspetto senza compromettere altre iniziative aziendali. Benché utilizzino strumenti specifici per le esigenze di sicurezza dei dati, le società segnalano ancora delle incertezze correlate all’implementazione o all’espansione di programmi basati su queste tecnologie. Nel mese di novembre 2015 Dell ha commissionato un sondaggio per ottenere una visione completa di come i responsabili delle decisioni dell’IT del mercato di fascia media e i massimi dirigenti delle società valutino le tendenze nell’ambito della sicurezza e il relativo impatto di queste sulle loro attività. I risultati includono le risposte di oltre 1.300 responsabili delle decisioni aziendali e dell’IT di sette paesi. Alcuni risultati sono sorprendenti. Molti altri hanno fornito cifre importanti a convalida delle tendenze osservate tra i clienti e i partner di Dell. Nel primo sondaggio sulla sicurezza dei dati di Dell questi dati sono stati distillati per condividere le preoccupazioni specifiche sulla sicurezza dei dati condivise dalle aziende nel mercato di fascia media. GLI ARGOMENTI TRATTATI COPRONO DIVERSE TENDENZE CHIAVE, TRA CUI: 1. La sicurezza dei dati è diventata una priorità per i massimi dirigenti aziendali, ma la prevenzione delle minacce rimane un problema. 2. Nonostante il crescente appoggio dei dirigenti, i reparti di IT necessitano di maggiore supporto per la completa integrazione della sicurezza dei dati. 3. I malware e gli attacchi usati come armi tengono svegli la notte i responsabili delle decisioni aziendali e dell’IT. 4. I datori di lavoro ritengono che la protezione dei dati implichi la riduzione della mobilità. 5. I partecipanti considerano a rischio i dati nelle piattaforme di cloud pubblico. METODOLOGIA Penn Schoen Berland ha realizzato un sondaggio online tra 1.302 partecipanti del settore commerciale negli Stati Uniti, in Europa e nell’area Asia-Pacifico, incluso il Giappone. I partecipanti erano responsabili delle decisioni aziendali e dell’IT. La ricerca è stata realizzata dal 19 novembre all’8 dicembre 2015. Sondaggio sulla sicurezza dei dati 2016 di Dell 02
PUNTI PRINCIPALI 01/ La sicurezza dei dati è diventata prioritaria per i massimi dirigenti aziendali, ma la prevenzione delle minacce rimane un problema. Benché la dirigenza sia più coinvolta nella sicurezza dei dati rispetto al passato, i team dell’IT ritengono che i dirigenti non dedichino ancora le energie e le risorse necessarie per affrontare al meglio le sfide presentate da questa problematica. Secondo il sondaggio, circa tre responsabili delle decisioni su quattro concordano che la sicurezza dei dati sia una priorità per i massimi dirigenti della loro organizzazione, ma sono preoccupati che questi non prestino sufficiente attenzione e non siano bene informati sui problemi e sugli strumenti relativi alla stessa. In effetti, un responsabile delle decisioni su quattro ritiene che i dirigenti della sua società non siano informati sui problemi della sicurezza dei dati, secondo circa un terzo (32 percento) dei responsabili delle decisioni aziendali e un responsabili delle decisioni dell’IT su cinque. Se non vi è convergenza nel loro sviluppo, le strategie aziendali e quelle per la sicurezza informatica sono destinate al fallimento. Ad esempio, un team di IT crea una strategia di sicurezza completa per la sede centrale, garantendo la protezione totale della rete, la manutenzione periodica dei dispositivi dei dipendenti e la regolarità dele attività di formazione e delle comunicazioni. Se, tuttavia, in seguito l’AD annuncia che i dipendenti possono lavorare da casa, si apre un vuoto di sicurezza cruciale. Analogamente, anche se un programma di IT è completamente protetto dalle minacce nazionali, l’eventuale integrazione commerciale con società estere genera un rischio. In altre parole, la sicurezza informatica non è un mero esercizio tecnico, ma un imperativo aziendale da integrare nelle nuove iniziative fin dal principio. Le conclusioni mostrano inoltre che tre responsabili delle decisioni su quattro affermano che i massimi dirigenti intendono aumentare le attuali misure di sicurezza e più della metà prevedono un aumento della spesa in sicurezza dei dati nei prossimi cinque anni. I costi costituiscono tuttavia un problema per l’utilizzo dei programmi di sicurezza esistenti: il 53 percento indica i vincoli di costi come motivo per la mancata aggiunta di altre funzionalità di sicurezza in futuro e solo un responsabile delle decisioni su quattro ripone fiducia nella capacità dei massimi dirigenti di destinare un budget sufficiente alle soluzioni per la sicurezza dei dati nei prossimi cinque anni. Queste cifre indicano che la dirigenza deve essere più coinvolta nell’integrazione delle strategie di sicurezza dei dati dell’azienda. La consapevolezza della necessità di investire nell’infrastruttura di sicurezza non si traduce, però, nell’aggiornamento o nell’espansione dei sistemi correnti per prevenire adeguatamente gli attacchi moderni. Ciò suscita preoccupazione nei team di IT. L’infrastruttura esistente può costituire una base per la sicurezza dei dati, ma le minacce progrediscono e aumentano ogni anno, così come i mezzi con cui si diffondono, intrinseci nell’ambiente aziendale. Nel complicato mondo odierno sempre connesso, l’unico modo per prevenire le violazioni è un programma di sicurezza che difenda i sistemi in profondità e sotto ogni aspetto. Per allineare in modo ottimale l’azienda e l’IT, i massimi dirigenti devono andare oltre una comprensione sbrigativa della sicurezza dei dati per arrivare a integrarla nelle fasi di pianificazione. Ciò non implica che la sicurezza debba limitare le iniziative aziendali. Al contrario, i team della sicurezza devono fare il possibile per sostenere l’evolversi dell’attività. È tuttavia cruciale riconoscere che, per sostenere adeguatamente le iniziative aziendali, i team di IT devono essere coinvolti nelle sessioni di pianificazione delle attività e disporre di un’infrastruttura e di soluzioni moderne. Sondaggio sulla sicurezza dei dati 2016 di Dell 03
PUNTI PRINCIPALI 02/ Nonostante il crescente appoggio dei dirigenti, i reparti di IT necessitano di maggiore supporto per la completa integrazione della sicurezza dei dati. L’assunzione di personale rappresenta una continua sfida per i team di IT che devono ricoprire un numero crescente di incarichi man mano che le iniziative aziendali richiedono sempre più supporto. La mancanza di investimenti in tecnologie semplificate e la carenza di personale competente sono ostacoli per la messa a punto di programmi per la sicurezza dei dati. La maggior parte dei responsabili delle decisioni (58 percento) crede che la società in cui opera venga danneggiata dalla carenza di professionisti della sicurezza qualificati sul mercato che potrebbe portare all’uso di tecniche e procedure antiquate. Analogamente, il 69 percento dei responsabili delle decisioni vede ancora la sicurezza dei dati come un fardello in termini di tempo e budget. Ciò indica che le aziende considerano la sicurezza dei dati come un ripensamento, non come un processo capace di aumentare la mobilità. Più che essere un semplice atteggiamento mentale, i vincoli di costi e tempi generalmente associati alle soluzioni antivirus tradizionali continuano ad avere un impatto negativo sui reparti di IT. Sondaggio sulla sicurezza dei dati 2016 di Dell 04
PUNTI PRINCIPALI Nonostante questa visione opprimente dei programmi per la sicurezza dei dati, circa la metà (49 percento) dei responsabili delle decisioni ritiene di dover dedicare più tempo alla protezione dei dati nei prossimi cinque anni rispetto a oggi. I team di IT sono consapevoli di dover raggiungere un livello più alto di efficacia, ma questo obiettivo sembra schiacciante È importante notare che il 76 percento ritiene che le soluzioni sarebbero meno gravose se offerte da un unico fornitore. Per le società con centinaia o migliaia di dipendenti, la gestione separata di ciascun endpoint con diverse console è del tutto inefficiente e aumenta in modo considerevole la probabilità di errori da parte degli utenti. L’implementazione di una sola suite integrata per la gestione dell’IT può migliorare drasticamente il processo 03/ I malware e gli attacchi usati come armi tengono svegli la notte i responsabili delle decisioni aziendali e dell’IT. Circa tre responsabili delle decisioni su quattro (73 percento) si dicono da leggermente a molto preoccupati per il malware e le continue minacce avanzate, anche se la maggior parte utilizza già un software antimalware per garantire la sicurezza dei dati dell’organizzazione. La preoccupazione per le minacce di malware è maggiore negli Stati Uniti (31 percento molto preoccupato), in Francia (31 percento molto preoccupato) e soprattutto in India (56 percento molto preoccupato), mentre è una preoccupazione meno sentita in Germania (11 percento molto preoccupato) e in Giappone (12 percento molto preoccupato). Solo un responsabile delle decisioni su cinque è fiducioso nelle proprie capacità di proteggere l’attività da attacchi di malware complessi. Inoltre, la mancanza di consapevolezza da parte dei dipendenti è percepita come un grave rischio. I partecipanti sono più preoccupati per gli attacchi di spear phishing (73 percento preoccupato) che per altri tipi di violazione. La preoccupazione delle società per il malware e altri attacchi esterni ha motivazioni fondate: gli attacchi informatici non diminuiscono né nel numero né nell’efficacia. In effetti, Dell SonicWALL ha individuato un numero di firme di malware univoche doppio nel 2015 rispetto al 2014 e il costo medio delle violazioni dei dati è aumentato di $ 300.000. I software antimalware sono estremamente diffusi, quindi a cosa è dovuto questo vuoto di sicurezza? La risposta, di nuovo, è da ricercarsi negli strumenti datati e inefficaci e nelle strategie non allineate. Quando i team di IT non dispongono delle risorse o dell’integrazione aziendale di cui necessitano per implementare strategie preventive, sono costretti a giocare in difesa affidandosi solo al rilevamento delle minacce. È una scelta rischiosa: se un dispositivo viene compromesso, è possibile che non causi danni agli altri asset dell’organizzazione prima che il team si accorga del problema e rimuova la minaccia. Se è il dispositivo del CIO a essere violato, tuttavia, un concorrente potrebbe avere accesso ai piani di produzione. I dati dei clienti e altre informazioni riservate potrebbero essere presenti nel dispositivo o accessibili attraverso l’applicazione di e-mail. Anche se la violazione si fermasse qui, l’organizzazione rischierebbe una perdita di diversi milioni di dollari. Inoltre, l’impegno necessario per arginare i danni dopo un attacco può essere estenuante, soprattutto dato il numero di attacchi perpetrati ogni mese. Oltretutto, più aumenta il numero di malware che superano le difese dell’IT, più cresce il numero di dipendenti che contattano l’help desk per chiedere assistenza, con un ulteriore esborso per la società in termini di denaro e ore di lavoro. Nell’attuale panorama a elevato rischio di minacce, un programma di sicurezza reattivo non è una scelta conveniente. L’infrastruttura moderna è progettata per individuare e prevenire gli attacchi di malware, proteggere i dati sensibili dell’organizzazione, anche nel caso di perdita o furto di un dispositivo. Ovviamente, anche la formazione dei dipendenti ha un ruolo essenziale, perché solo la consapevolezza delle minacce comuni consente ai dipendenti di non cadere vittima dei raggiri di spear phishing o di evitare altri comportamenti rischiosi. Sondaggio sulla sicurezza dei dati 2016 di Dell 05
PUNTI PRINCIPALI 04/ I datori di lavoro ritengono che la protezione dei dati implichi la riduzione della mobilità. Si afferma comunemente che tutti gli uffici sono sempre più mobili, ma la realtà è un po’ più complessa. Risulta che circa l’82 percento dei responsabili delle decisioni abbia tentato di limitare i punti di accesso ai dati per migliorare la sicurezza e solo il 18 percento abbia la certezza che i dati siano protetti quando i dipendenti vi accedono in remoto. Inoltre, il 72 percento dei responsabili delle decisioni crede che per rendere più efficaci le misure di protezione dei dati sia importante conoscere la posizione da cui vi si accede. Per le aziende la sicurezza ha una priorità maggiore rispetto alla flessibilità dei dipendenti: il 67 percento è riluttante ad avviare un programma BYOD (Bring Your Own Device, uso di dispositivi personali) e il 65 percento non mette in atto i piani per rendere più mobili i dipendenti per motivi di sicurezza. Inoltre, il 69 percento dei partecipanti afferma di essere disposto a sacrificare i dispositivi individuali per proteggere la società da una violazione dei dati. In teoria, le società riconoscono l’esigenza di attuare un programma di mobilità. Tralasciando le preoccupazioni sulla sicurezza, due partecipanti su cinque sono interessati a incrementare la mobilità per migliorare l’esperienza utente dei dipendenti. Possono non capire, tuttavia, che inasprire i controlli dell’accesso mobile è come tentare di rimettere Sondaggio sulla sicurezza dei dati 2016 di Dell 06
PUNTI PRINCIPALI il dentifricio nel tubetto. Circa la metà dei millennial si aspetta di poter svolgere il lavoro su dispositivi mobili e, in effetti, il 43 percento della forza lavoro lo fa di nascosto, anche se la società non ha in atto alcun programma per la mobilità. Così, quando le società decidono di non creare programmi per la mobilità sicuri e autorizzati, aprono le porte a rischi ancora maggiori. Chi riesce a bloccare l’accesso ai dati eliminando la flessibilità dell’ambiente di lavoro rischia di perdere i dipendenti migliori. Con le soluzioni di sicurezza dei dati tradizionali, le società supportano la crittografia dei dati archiviati su un PC o un dispositivo mobile o nel cloud. Ma i dati non rimangono sempre in archivio, vengono spostati, condivisi e utilizzati. Le società, quindi, devono crittografare i dati in tutte le modalità di utilizzo, come e-mail, condivisione e apertura di file e così via. Le società devono anche conservare i diritti di gestione per controllare quali informazioni vengono copiate e incollate, condivise o stampate e chi esegue queste operazioni. I team di sicurezza devono pianificare la protezione per l’intero ciclo di vita. Il sondaggio ha inoltre rilevato che il 57 percento dei partecipanti è preoccupato per la qualità della crittografia utilizzata dalla società. La soluzione consiste nell’utilizzare un software di crittografia intelligente in grado di proteggere i dati archiviati, in movimento o in uso. La crittografia intelligente viaggia con i dati, non solo con il dispositivo, agevolando così la messa in sicurezza degli endpoint da parte delle società. Questa e altre soluzioni predisposte per la mobilità permettono la coesistenza della mobilità e della sicurezza con la moderna tecnologia per la protezione dei dati. Ciò che non può coesistere oggi sono le restrizioni ingiustificate e la soddisfazione dei lavoratori. Sondaggio sulla sicurezza dei dati 2016 di Dell 07
PUNTI PRINCIPALI 05/ I partecipanti considerano a rischio i dati nelle piattaforme di cloud pubblico. Con un numero crescente di lavoratori che utilizzano i servizi di cloud pubblico come Box e Google Drive sul posto di lavoro, le aziende temono di non poter controllare i rischi posti da queste applicazioni. Circa quattro partecipanti su cinque sono preoccupati per il caricamento di dati critici nel cloud e il 58 percento è effettivamente più preoccupato rispetto a un anno fa. Come per la mobilità, le società adottano un approccio al problema basato sulle limitazioni, anziché sulle concessioni. Il 38 percento dei responsabili delle decisioni ha accesso limitato alle risorse del cloud pubblico all’interno della propria organizzazione per preoccupazioni legate alla sicurezza. Inoltre, il 57 percento dei responsabili delle decisioni che attualmente utilizzano il cloud e il 45 percento di coloro che intendono utilizzare piattaforme di cloud pubblico si affideranno in gran parte a fornitori di cloud per la sicurezza. Sondaggio sulla sicurezza dei dati 2016 di Dell 08
PUNTI PRINCIPALI Dati i vantaggi per la produttività e la collaborazione che molte aziende del mercato di fascia media possono ottenere dalle soluzioni di cloud pubblico, è preoccupante che solo una società su tre indichi il miglioramento dell’accesso sicuro agli ambienti di cloud pubblico come punto centrale dell’infrastruttura di sicurezza. E questo nonostante l’83 percento affermi che i dipendenti utilizzano, o utilizzeranno presto, ambienti di cloud pubblico per condividere e archiviare dati preziosi. Con la crittografia dei dati intelligente, anche in caso di un attacco riuscito a Box o Google Drive, i dati a cadere nelle mani degli hacker sarebbero crittografati, pertanto illeggibili. Se il programma di sicurezza della società si attiene alle migliori prassi, gli hacker dovrebbero anche avere le credenziali di accesso di un dipendente autorizzato, oltre al dispositivo utilizzato dal dipendente stesso per poter decrittografare le informazioni. I programmi di sicurezza devono garantire ai dipendenti sicurezza e produttività, quindi le tecnologie di supporto al lavoro devono essere autorizzate non limitate. Le società possono cercare di limitare o vietare l’uso del cloud pubblico, ma è più proattivo ed efficace proteggere i dati ovunque si trovino. Conclusione Forse l’aspetto più sorprendente delle risposte al sondaggio è stato il tema ricorrente della sicurezza vista come peso, elemento di apprensione o imperativo per cui occorre compiere difficili sacrifici. In realtà, le soluzioni per la sicurezza dei dati si sono evolute per coesistere in armonia con altri obiettivi aziendali, sostenendo piuttosto che ostacolare la produttività e la redditività. La crescente attenzione prestata alla sicurezza dei dati è un aspetto promettente. I professionisti della sicurezza dei dati, tuttavia, devono proseguire il processo formativo dei massimi dirigenti, dissipando i pregiudizi e presentando alle società la varietà di strumenti e opportunità disponibili. È IMPORTANTE PARTIRE DALLA BASE: • Verificare che i team della sicurezza siano coinvolti nelle iniziative aziendali dal principio – Le strategie aziendali e di sicurezza hanno successo solo se sono allineate. • Adottare tecnologie moderne per prevenire le minacce – I sistemi legacy o quelli creati solo per rilevare le violazioni non sono adatti a proteggere i dati critici nell’ambiente attuale costantemente minacciato. • Proteggere i dati, non solo gli endpoint – L’uso della crittografia intelligente che viaggia con i dati riduce notevolmente le possibilità che un pirata informatico riesca a utilizzare i dati compromessi. • Investire in una sola suite integrata che offra le migliori funzionalità – La riduzione del peso della gestione degli endpoint per il team di IT permette di ridurre costi ed errori degli utenti. I programmi di sicurezza devono progredire, così come accade per gli obiettivi aziendali. I team di IT devono affrontare sfide più complesse che mai, ma hanno a disposizione tecnologie più sofisticate. La sicurezza non deve compromettere la produttività, la crescita o l’evoluzione delle opportunità commerciali. Se affrontata con consapevolezza e adeguatamente supportata in termini di budget e appoggio, la sicurezza può dare il giusto slancio anche alla dirigenza aziendale più innovativa. Sondaggio sulla sicurezza dei dati 2016 di Dell 09
Puoi anche leggere