novembre 2011
office automation
59
di verifica e i1 12% invia richieste di rilettura. Que-
sti atteggiamenti potrebbero essere motivati da una
diffusa fiducia nel senso di responsabilità dei dipen-
denti, ma anche da una sottovalutazione del pro-
blema. Le aziende dovrebbero capire che la distri-
buzione della policy non serve se non segue una fase
di apprendimento e un processo di verifica periodica
delle conoscenze di quanto appreso. Il livello di ma-
turità delle soluzioni introdotte è ancora molto ete-
rogeneo. Se le imprese usano
sistemi antivirus per proteggere
i propri sistemi, non tutti i pc e
i server aziendali ne sono prov-
visti e solo nel 39% dei casi
sono aggiornati regolarmente.
Sono il 15% delle realtà coin-
volte a non avere ancora intro-
dotto procedure interne sul
corretto uso degli strumenti in-
formatici mentre il 25% non ha
adottato misure/controlli di si-
curezza fisica per proteggere i locali in cui sono in-
stallati gli strumenti informatici e gli apparati di co-
municazione. Le nostre, soluzioni adottate in ambito
risk management, inoltre, sono spesso artigianali e
sviluppate in casa; mancano, quindi, standard di ri-
ferimento con cui confrontarsi. Il 46% delle aziende
che adotta le misure minime di sicurezza previste
dalla legge sulla privacy (L.196/2003) ha dispositivi
di protezione della rete aziendale (come firewall e
proxy); soltanto nel 35% dei casi sono fatte verifiche
periodiche sulle misure minime di sicurezza tramite
personale specializzato. Nel 67% dei casi queste
aziende hanno pianificato azioni su come compor-
tarsi in caso di attacco, infezioni da virus o perdita di
dati, mentre il restante 33% agisce al momento sulla
base di criteri non ben precisati.
Internet è sempre più usato
Le PMI lombarde sono sempre più attente al mondo
Internet. Il 98% usa la navigazione e la posta elet-
tronica per gestire le proprie attività, anche se solo il
18% adopera la Rete anche per promuovere e offrire
prodotti e servizi attraverso un sito di commercio
elettronico.
Cresce anche l’uso di Internet per fare transazioni e
dare disposizioni operative. Il 62% dei titolari azien-
dali è munito di dispositivi di firma digitale, che in
oltre metà dei casi è però custodita presso il com-
mercialista, mentre il 45% del campione usa la carta
di credito per fare acquisti su Internet.
Riguardo all’access management, è incoraggiante la
percentuale (96%) di aziende intervistate che di-
chiarano di disporre di soluzioni di directory, ovvero
che per l’accesso al sistema informatico è necessaria
l’autenticazione del singolo utente tramite login/pass-
word. Tra il 96% di imprese che usano soluzioni di
directory, tuttavia, solo il 26% ammette che il proprio
personale dipendente usa
password scelte in base a
principi di sicurezza, men-
tre soltanto il 27% dice che
esistono precise procedure di
creazione/cancellazione/ag-
giornamento dei diritti di au-
tenticazione per l’accesso al
sistema.
Inoltre, a fronte di un 91% di
aziende che conserva e ge-
stisce i dati e le informazioni
di valore nei propri sistemi informativi, solo il 12%
dichiara l’esistenza in azienda di un inventario det-
tagliato delle informazioni di valore e/o sensibili al-
l’interno dell’impresa stessa.
Anche se la quasi totalità delle aziende del panel
spiega di fare attività di back up, solo il 3% lo fa gior-
nalmente, il 78% lo fa settimanalmente, il 15% men-
silmente e il 4% saltuariamente. Soltanto nel 13% dei
casi l’utente di pc portatili, organizer e PDA si assi-
cura di fare con regolarità il back up dei dati salvati
su questi strumenti tecnologici.
Sono il 24% le aziende che hanno predisposto un
piano per gestire situazioni di disaster recovery e il
35% quelle in cui i back up sono adeguatamente cu-
stoditi. Il 40% delle imprese, inoltre, svolge prove di
recupero dati dalle copie di sicurezza.
Per concludere, se la maggioranza delle imprese
coinvolte ha definito regole e procedure di sicurezza
che hanno per oggetto gli standard tecnologici e
l’organizzazione nel suo complesso, è ancora poco
diffusa la definizione di politiche di sicurezza che
hanno per oggetto il comportamento del singolo in-
dividuo. Quest’ultimo passo è molto importante,
perché sono proprio le singole persone a costituire
un anello significativo della catena organizzativa.
Permane, quindi, la sottovalutazione degli attacchi
provenienti dall’interno, sia casuali sia volti a com-
piere atti fraudolenti.
Nelle aziende coinvolte
è ancora poco diffusa la
definizione di politiche
di sicurezza che hanno
per oggetto il comportamento
del singolo individuo
“
“
