Il Computer Security Institute (CSI) ha pubblicato l’edizione 2006 del suo rapporto sulla sicurezza informatica scritto insieme allo statunitense Federal Bureau of Investigation (meglio noto come FBI).
Il rapporto, il cui titolo completo è "CSI/FBI Computer Crime and Security Survey" è scaricabile da Internet, previo registrazione gratuita.

I risultati

In sintesi ecco i principali risultati del rapporto (i dati si riferiscono al mercato USA):

• i virus continuano ad essere la principale minaccia di sicurezza dal punto di vista delle perdite economiche; la seconda è rappresentata dagli accessi non autorizzati; terza e quarta minaccia sono: il furto dei portatili e di informazioni (nel senso di proprietà intellettuale);
• le perdite economiche dovute a problemi di sicurezza sono in diminuzione rispetto all’anno scorso;
• l’outsourcing della sicurezza, nonostante tutti i discorsi che si fanno, continua ad essere poco diffuso (stessa percentuale degli scorsi due anni);
• scarso l’utilizzo di polizze assicurative specifiche;
• aumenta il numero delle aziende che denunciano, alle forze dell’ordine, le “computer intrusion” anche se il timore della pubblicità negativa che ne può derivare rimane alto;
• molte organizzazioni effettuano una valutazione economica degli investimenti in sicurezza; di questi il 42% usa come indicatore il ROI (ritorno sugli investimenti);
• oltre l’80% delle aziende effettua security audit;
• l’impatto della Sarbanes Oxley continua ad essere significativo: la "regulatory compliance" è l’impegno maggiore dei security manager;
• tutti considerano la formazione e sensibilizzazione ai temi della sicurezza come il fattore più importante; molti ritengono che gli attuali investimenti effettuati dalla propria azienda in quest’area sono insufficienti.

Le tecnologie di sicurezza utilizzate

Interessanti i dati sugli strumenti utilizzati.

• Firewall 98%
• Antivirus Sw 97%
• Anti spyware sw 79%
• Server-based access control list 70%
• IDS 69%
• Encryption for data transit 63%
• Encryption for data in storage 48%
• Reusable account/login password 46%
• IPS 43%
• Log management sw 41%
• Application-level firewall 39%
• Smart card/one time password token 38%
• Forensics tool 38%
• Public Key Infrastructure 36%
• Specialized wireless security system 32%
• Endpoint security client sw 31%
• Biometrics 20%
• Other 4%

Importanza degli argomenti per il security awaress training

• Security policy 77%
• Network Security 76%
• Security management 72%
• Access control systems 67%
• Security systems architecture 62%
• Economics of computer security 55%
• Investigations and legal issues 52%
• Cryptography 34%

Conclusioni

Rinvio ovviamente al documento originale per le conclusioni complete del rapporto; qui vorrei solo riprendere un concetto che ho trovato molto interessante.
La sicurezza diventa sempre più importante per le aziende specialmente perché i clienti sono impauriti dalle continue notizie sui furti di dati critici (password, account, eccetera) ma ai professionisti della security viene sempre più richiesto di saper valutare ed indirizzare gli investimenti economici da effettuare.

Chi è Manlio Torquato?

Manlio si occupa di sicurezza informatica da tanti anni. Ora ha voluto mettere ordine nelle sue letture.  
Per IsacaRoma Newsletter ha scritto

• Letture sotto l’ombrellone per i Security Manager
• Phishing – attacco all’autenticazione a due fattori

Contatti?