Network Magazine

Ottobre 2003

Sicurezza

La sicurezza dei sistemi informativi

La fotografia di Assintel/Mate sul tema della sicurezza e della Business Continuity nelle aziende italiane. Ecco i risultati e i commenti

Michela Bercellesi

Dopo l’11 settembre la sicurezza dei sistemi informativi è un tema caldo e di fatto un indispensabile tassello nella politica aziendale. Spesso però le società italiane non sono in grado di implementare Business Continuity né procedure per la sicurezza informatica, sia per difficoltà d’allocazione del budget, sia per la poca sensibilizzazione a questa problematica.
Per fotografare lo stato attuale nel settore della sicurezza aziendale e delle soluzioni di Business Continuity, Assintel ha incaricato Mate (società di ricerca e consulenza) di svolgere un’indagine su un campione di 400 aziende medio-grandi su due livelli di analisi: Milano e provincia, e il contesto italiano.
La ricerca, realizzata tra marzo e aprile del 2003, ha evidenziato come il responsabile IT si trovi a dover affrontare situazioni critiche e a risolvere i problemi con poca attenzione ai particolari e con i mezzi e la conoscenza di cui dispone in quel momento. Spesso poi nelle aziende più piccole, questa figura non esiste proprio.
Il fattore più allarmante dell’indagine è l’approccio “non preventivo” delle aziende: il fatto cioè che non sia stato pensato un piano accurato che prenda in considerazione eventuali rischi, se non a fronte di incidenti già avvenuti.
Le aziende però oggi non possono più permettersi un downtime prolungato e i costi per le interruzioni di servizio aumentano sempre più. “Il sistema informativo delle aziende deve essere sempre disponibile al 100% e i clienti esigono dalle eCompany il raggiungimento dei five nines, il 99,999% di uptime del sistema di servizio” commenta Luca Bilanzuoli, analista di Mate.
Ma da Assintel arrivano anche notizie confortanti: sembra infatti che il trend stia cambiando e che le aziende italiane inizino a investire anche in questo campo. Un aspetto ancora sottovalutato invece riguarda il trainig dello staff tecnico.

Com’è il mercato della sicurezza?

Secondo stime IDC il mercato globale della sicurezza passerà dai 14 miliardi di dollari del 2000 agli oltre 45 del 2005, mentre in Europa toccherà i 6 miliardi. In Italia invece il mercato della sicurezza IT crescerà dai 260 milioni di dollari del 2000 ad oltre 1,5 miliardi nel 2005 con un incremento del 40% annuo, tasso superiore a qualsiasi altro paese europeo. Le aree che toccheranno percentuali di crescita più forti saranno quelle dell’outsourcing e del consulting.
Per quanto riguarda la Business Continuity il 50% delle aziende ha ridimensionato il sistema di disaster recovery su un solo datacenter, che permette un recupero tra le 48 e le 72 ore. Il risparmio medio aziendale per la voce storage grazie a questa soluzione è tra il 30 e i 50%. Le aziende più grandi invece, essendo dotate di datacenter multipli, possono ripristinare le attività entro un massimo di 8 ore.
Secondo un’indagine Forrester del marzo del 2003, le soluzioni di business continuity continueranno a crescere durante tutto il 2003. Infatti, sembra che il 62% delle aziende che fatturano più di un miliardo di dollari acquisterà soluzioni che permettano la continuità delle operazioni.

I risultati della ricerca

Le imprese che hanno attivato procedure di sicurezza informatica o che hanno intenzione a breve di farlo a Milano sono l’85%, mentre sul campione italiano la percentuale scende invece all’81%.
Il 72% delle aziende intervistate dichiara di avere il responsabile dedicato alla sicurezza interno, il restante 28% affida invece al responsabile IT queste problematiche. Riguardo all’allocazione del budget di spesa per la sicurezza, solo il 35% delle aziende ha risposto di averne uno. Per quanto riguarda il contesto milanese, l’8% delle imprese non ha alcun interesse riguardo al problema della sicurezza e questa percentuale sale fino al 12% se si analizza il campione italiano.
Quasi un’azienda su 10 afferma di aver subito attacchi con conseguenze rilevanti, mentre il 60% dichiara di non averne mai subito uno. “Bisognerebbe a questo punto capire cosa si intende per un attacco informatico in quanto un agguato non è necessariamente teso a procurare danni e molte imprese probabilmente non se ne sono nemmeno accorte. Da notare, poi, come gli attacchi rilevanti siano stati subiti dalle aziende dichiarate innovative. Il consiglio in questi casi, nell’ambito della sicurezza, è di usare solo applicazioni consolidate, non affidandosi a quelle di nuova generazione” aggiunge Bilanzuoli.
L’attacco da parte di virus attraverso Internet o la posta elettronica è ancora la preoccupazione principale e quasi tutte le aziende (il 94%) hanno avuto problemi con i virus. La percentuale delle intrusioni e degli accessi non autorizzati ai dati aziendali invece è bassa, e raggiunge solo il 10%.
Il backup nella politica aziendale è visto come elemento imprescindibile per la sicurezza IT e il 98% delle aziende lo adotta. Il 99% del campione possiede un software antivirus. Il 76% dispone di un firewall e la percentuale supera i 90% nei casi in cui l’impresa utilizzi una rete extranet. “I firewall sono abbastanza diffusi. Il problema è la loro efficacia. La tipologia migliore è quella presente a livello di server, che analizza i flussi con procedure automatiche” dichiara Bilanzuoli.
Il 76% del campione milanese dispone di procedure di disaster recovery, ma la percentuale scende fino al 43% sull’intero campione nazionale. L’1% dichiara di avere intenzione di adottarne a breve.
Il 59% delle aziende intervistate dispone di locali dedicati con accesso controllato, nello specifico la sala server, il 41% invece ne è sprovvisto.
Riguardo al livello di sicurezza fisica e logica, il 18% intende aumentarlo a breve, il 44% l’ha già fatto, mentre il 32% è soddisfatto della propria situazione.
Secondo la ricerca poi i dipendenti dovrebbero seguire procedure più rigide per l’utilizzo del sistema informativo. Il 34% del campione ha risposto infatti affermativamente, il 12% tenterà questa strada a breve.
Il 75% del campione ha sviluppato piani per aumentare la sensibilità del personale al problema della sicurezza, mentre l’8% lo farà a breve. Il 79% delle aziende dispone di un sistema antincendio, il 23% d’impianti televisivi di controllo e il 76% possiede locali climatizzati.
A livello internazionale, se il biennio 2002-2003 avrebbe dovuto essere incisivo sul fronte degli investimenti, il 2004 registrerà invece un trend di crescita e un’importante accelerazione.