Studio Oracle e CSO Custom Solutions Group: nonostante l'aumento degli investimenti in sicurezza informatica, non viene ancora garantita protezione agli asset più importanti

Cinisello Balsamo (MI) – 18 luglio 2013

La notizia

• Gran parte delle risorse che le aziende dedicano oggi alla sicurezza IT viene destinata alla protezione degli asset di rete, nonostante la diffusa convinzione che il rischio maggiore sia in realtà rappresentato da potenziali violazioni ai database. È quanto ha messo in evidenza uno studio realizzato da CSO Custom Solutions Group per conto di Oracle.
• Dal sondaggio, che ha coinvolto 110 società di settori diversi tra cui servizi finanziari, pubblica amministrazione e high-tech, è emerso come oltre i due terzi delle risorse IT vengono destinate alla tutela del layer di rete e solo un terzo va invece a supporto della protezione delle infrastrutture base come database e applicazioni.
• Da un’analisi dei potenziali danni che possono derivare da un’eventuale falla nella sicurezza, la maggioranza degli intervistati, tuttavia, ha ritenuto più rischiosi quelli causati a livello dei database, in quanto contengono i dati maggiormente sensibili e di valore, che vanno dalla proprietà intellettuale ai dati relativi ai clienti e ai dipendenti, fino alle informazioni di natura finanziaria.
• La scelta di un approccio sbilanciato e frammentato nei confronti della sicurezza ha contribuito a rendere applicazioni e dati aziendali vulnerabili a possibili attacchi, siano essi interni o esterni.
• I risultati della ricerca mettono in luce l'importanza dell'approccio “security inside-out” di Oracle: l'attenzione infatti si focalizza sulle risorse più strategiche per l'impresa, ovvero database, applicazioni e utenti.

I risultati nel dettaglio

• Il 66% circa degli intervistati ha confermato di ricorrere a una strategia di sicurezza inside-out, mentre il 35% si rivolge a una protezione end-point.
• Nonostante la consapevolezza dell'importanza di una strategia, gli investimenti non risultano allineati a questa visione: più del 67% delle risorse tecnologiche, inclusi budget e tempo lavorato dal personale, viene destinato alla protezione del layer di rete; meno del 23% viene invece riservato alla protezione di sistemi core come server, applicazioni e database.
• Il 44% degli intervistati ritiene che i database siano al sicuro, in quanto installati in un'area molto interna rispetto al perimetro.
• Per il 90% degli intervistati i volumi di investimento risultano invariati o in aumento rispetto ai 12 mesi precedenti. Dal sondaggio è inoltre emerso che il 59% ha in previsione di aumentare la spesa per la sicurezza nell'arco del prossimo anno.
• Nel 35% dei casi, l'elemento che ha influenzato la spesa per la sicurezza è stata la sensazionalità delle notizie anziché i rischi effettivi per la propria azienda.
• Il 40% degli intervistati ritiene che l'implementazione di soluzioni frammentate e puntuali crei dei varchi nella sicurezza; il 42% riferisce di avere attualmente maggiori difficoltà nel prevenire gli attacchi rispetto al passato.

Dichiarazioni a supporto

• “La sicurezza IT deve concentrarsi sulle risorse realmente più strategiche. Le aziende non possono permettersi di continuare a investire su rischi fasulli e non prettamente insiti nelle loro attività di business. Gli attacchi che superano il perimetro sfruttano i deboli controlli sui sistemi core servendosi di accessi per utenti privilegiati, applicazioni vulnerabili e account con eccessive autorizzazioni”, ha osservato Mary Ann Davidson, Chief Security Officer di Oracle. “È essenziale che le aziende capiscano quali sono gli aspetti davvero fondamentali, ovvero la sicurezza dei database, delle applicazioni e la gestione delle identità”.
• "Lo studio ha chiaramente evidenziato la presenza di un forte gap che esiste tra la minaccia di possibili gravi danni prodotti da un attacco a un database e le risorse allocate per la protezione dei database stessi, ponendo l'accento sulle incongruenze delle imprese per quanto concerne la sicurezza delle proprie le infrastrutture IT", ha spiegato Tom Schmidt, Managing Editor di CSO Custom Solutions Group.

Ri sorse a supporto

• Oracle Database Security Products
• Oracle Identity Management Products
• Link to gated paper on CSO Online
• Webcast Securing Your Business Inside Out con Mary Ann Davidson
• Unisciti alle community online Oracle Identity Management: Blog, Facebook e Twitter