Quantità non è uguale a qualità: in tema di investimenti in sicurezza informatica, le aziende possono fare meglio. È quanto emerso dall’indagine svolta da Oracle e CSO Custom Solutions Group su 110 società di settori diversi, tra cui servizi finanziari, pubblica amministrazione e high-tech: i budget risultano quasi sempre stabili o in crescita (nel 90% dei casi, mentre in futuro aumenteranno per il 59% delle realtà), ma solo in piccola parte vengono destinati agli elementi più sensibili e strategici da proteggere.
Oracle Exadata Database Machine X3
Attualmente, infatti, oltre i due terzi delle risorse IT vengono destinate alla tutela del layer di rete, mentre
solo un terzo va a supporto della protezione delle infrastrutture base come database, server e applicazioni.
Paradossalmente, nonostante la diffusa convinzione che il rischio maggiore sia in realtà rappresentato da potenziali violazioni ai database, gli investimenti non risultano allineati a questa visione: più del 67% delle risorse tecnologiche (inclusi budget e tempo lavorato dal personale) viene destinato alla protezione del layer di rete;
meno del 23% viene invece riservato alla protezione di sistemi core quali server, applicazioni e database.
Attualmente, dunque, la maggior parte delle aziende non garantisce protezione ai propri asset più importanti. È negli archivi di dati, infatti, che sono racchiuse le informazioni più sensibili o di valore, che vanno dalla proprietà intellettuale ai dati relativi ai clienti o ai dipendenti, fino alle informazioni di natura finanziaria. Il corretto approccio da adottare sarebbe quello che Oracle definisce
“security inside-out”, cioè strutturato a partire dai sistemi centrali e non dagli endpoint.
L’appello di Oracle è netto: “La sicurezza IT deve concentrarsi sulle risorse realmente più strategiche”, ha osservato
Mary Ann Davidson, chief security officer della società di Redwood Shores. “Le aziende non possono permettersi di continuare a investire su rischi fasulli e non prettamente insiti nelle loro attività di business. Gli attacchi che superano il perimetro sfruttano i deboli controlli sui sistemi core servendosi di accessi per utenti privilegiati, applicazioni vulnerabili e account con eccessive autorizzazioni. È essenziale che le aziende capiscano quali sono gli aspetti davvero fondamentali, ovvero la sicurezza dei database, delle applicazioni e la gestione delle identità”.
Sulla stessa linea si è espresso
Tom Schmidt, managing editor di Cso Custom Solutions Group, secondo cui “lo studio ha chiaramente evidenziato la presenza di un forte gap che esiste tra la minaccia di possibili gravi danni prodotti da un attacco a un database e le risorse allocate per la protezione dei database stessi, ponendo l’accento sulle incongruenze delle imprese per quanto concerne la sicurezza delle proprie le infrastrutture IT”.
Perché avviene tutto questo? Il 44% degli intervistati ritiene che i database siano al sicuro, in quanto installati in un'area molto interna rispetto al perimetro delle risorse IT aziendali. Inoltre, nel 35% dei casi le decisioni di allocazione del budget sono state influenzate dalla “sensazionalità delle notizie” relative ad attacchi informatici, anziché da una valutazione degli effettivi rischi per la specifica organizzazione.
Mary Ann Davidson, chief security officer della società di Oracle
Qualcosa, in ogni caso, sta cambiando: il 40% degli intervistati ritiene che l'implementazione di soluzioni frammentate e puntuali crei dei varchi nella sicurezza, mentre il 42% riferisce di avere attualmente maggiori difficoltà nel prevenire gli attacchi rispetto al passato. Sulla base di questa insoddisfazione, e con l’incentivo di aumento della spesa per la sicurezza entro il prossimo anno (segnalato dal 59% delle risposte), le aziende potrebbero iniziare a dare il giusto peso alla protezione dei loro database.