PER ULTERIORI INFORMAZIONI CONTATTARE

Emanuela Lombardo Costanza Bajlo – Francesco Petrella – Nadia Lauria

Symantec Italia Pleon srl
02/241151 02/205621
Emanuela_lombardo@symantec.com costanza.bajlo@pleon.com,
francesco.petrella@pleon.com,
nadia.lauria@pleon.com

Symantec: uno studio sfata i “luoghi comuni”

che contribuiscono agli insuccessi IT
Dall'analisi emerge che l'IT sta adottando un approccio più equilibrato
e meno incentrato sulla sicurezza nei confronti del rischio tecnologico

Cupertino, Calif. – 31 gennaio 2008 - Symantec Corp. (Nasdaq: SYMC) ha presentato il secondo
volume del Symantec IT Risk Management Report, dal quale emerge l’aumento della
consapevolezza nei confronti dell'importanza della gestione del rischio IT. Tuttavia alcuni miti
continuano a resistere. Nonostante lo studio riveli che i professionisti del settore stanno optando per
un approccio molto più equilibrato che tenga conto di aspetti quali la sicurezza, la disponibilità, la
conformità e i rischi prestazionali, persistono interpretazioni errate della gestione del rischio IT che
possono portare a potenziali insuccessi dell'infrastruttura tecnologica, con inevitabili ripercussioni
sulla business continuity. Il report evidenzia, inoltre, che i problemi di processo possono causare il
53% degli incidenti IT, e che molto spesso i responsabili IT sottovalutano la frequenza degli episodi
di perdita dei dati.

Lo studio, basato sull'analisi di oltre 400 interviste dettagliate e strutturate con professionisti IT di
ogni parte del mondo evidenzia, da un lato, le principali problematiche e tendenze, dall'altro
identifica e smentisce i quattro miti comunemente associati al rischio IT:

1 - la gestione del rischio IT riguarda solo la sicurezza IT;

2 - la gestione del rischio IT può essere affrontata con un singolo progetto;
3 - la tecnologia da sola può gestire il rischio IT;
4 - la gestione del rischio IT è già diventata una disciplina formale.

Primo mito: il rischio IT è sinonimo di rischio sicurezza

Nonostante la percezione tradizionale tenda ad associare principalmente il rischio IT al rischio

sicurezza, i risultati di questo studio rivelano l'emergere di una visione più ampia da parte dei
professionisti IT. Il 78% degli intervistati ha attribuito definizioni quali “critico” o “serio” al rischio
di disponibilità, contro quello legato alla sicurezza, alle prestazioni e alla conformità normativa,
rispettivamente con il 70%, 68% e 63%. Il fatto che la differenza di punti percentuale fra le
tipologie di rischio considerate sia solo del 15% indica che i professionisti IT stanno adottando un
approccio molto più equilibrato nei confronti del rischio IT, con una visione meno focalizzata sulla
sicurezza.
“È incoraggiante vedere, come rivelato dallo studio Symantec, che le aziende percepiscano con più
attenzione l'importanza di gestire il rischio IT in aree - come la disponibilità e le prestazioni - che
vanno oltre la sicurezza”, ha commentato Luigi Brusamolino Senior Regional Director Southern
Europe, Middle East & Africa, Symantec Global Services. “Nell’attuale mondo interconnesso, le
aziende stanno iniziando a capire che eventuali fallimenti che interessano un'ampia gamma di
sistemi possono impattare negativamente a livello di operazioni e risultati di business”.

Quanto emerso dallo studio conferma come i rischi legati alla sicurezza e alla conformità attraggano
spesso l'attenzione data la loro elevata visibilità e il grande impatto – il 63% degli intervistati ha
affermato che gli incidenti che causano una perdita di dati impattano pesantemente sulle loro attività
di business. Un'enfasi maggiore viene riservata al rischio di disponibilità: la ricerca dimostra come
questo tipo di rischio possa percorrere tutta la catena del valore e creare perdite per milioni di
dollari, anche in casi di problemi prestazionali di minore entità. I ricercatori di Dartmouth e
dell'Università della Virginia sono arrivati alla conclusione che un ipotetico errore sulla rete
SCADA (Supervisory Control and Data Acquisition) di una raffineria petrolifera produrrebbe un
danno economico pari a 405 milioni di dollari; una perdita che riguarderebbe la raffineria per 255
milioni di dollari, mentre la somma restante sarebbe a carico dell'intera supply chain
(http://www.ists.dartmouth.edu/library/207.pdf).

Secondo mito: la gestione del rischio IT è un progetto

Il mito secondo cui la gestione del rischio IT può essere affrontata come singolo progetto, o
addirittura come serie di esercizi puntuali distribuiti in diversi periodi di budget o su più anni, non
tiene conto della natura dinamica dell'ambiente di rischio interno ed esterno. La gestione del rischio
IT dovrebbe essere affrontata in qualità di processo continuativo al fine di stare al passo con i
mutevoli scenari di business. Gli incidenti tecnologici in ambito di sicurezza, disponibilità,
conformità e prestazioni possono avere un impatto devastante sulle moderne aziende. Lo studio ha,
inoltre, messo in evidenza che sul fronte della frequenza dei diversi incidenti IT:

• il 69% prevede un incidente IT di piccola entità una volta al mese;

• il 63% prevede un incidente IT di grande entità almeno una volta all'anno;
• il 26% prevede un incidente normativo per mancata conformità almeno una volta all'anno;
• il 25% prevede un incidente di perdita di dati almeno una volta all'anno.

Lo studio rivela come le organizzazioni più efficienti adottino invece un approccio di tipo olistico.
Sono tuttavia ancora molte le realtà che sembrano non riuscire a implementare una serie di controlli
fondamentali per la gestione del rischio, come ad esempio la classificazione e la gestione degli
asset, aree in cui solo il 40% degli intervistati ha confermato performance efficaci al 75% e oltre. In
aggiunta, solo il 34% dei partecipanti allo studio ritiene di disporre di un inventario aggiornato
relativo al parco dispositivi mobili e wireless, elementi essenziali allo svolgimento delle attuali
attività di business.

Terzo mito: la tecnologia da sola può mitigare il rischio

Se è vero che la tecnologia svolge un ruolo chiave nella mitigazione del rischio, è altrettanto vero
che le persone e i processi supportati dalla tecnologia concorrono anch'essi all'efficacia di un
programma di gestione del rischio IT. Secondo lo studio, i problemi legati ai processi causano il
53% degli incidenti IT. Diversi controlli hanno inoltre dimostrato un calo rispetto alle percentuali
pubblicate nel report dello scorso anno, generando maggiori preoccupazioni. Ad esempio, i controlli
di processo recepiti come occasione di training e consapevolezza hanno registrato una diminuzione,
passando dal 50% circa al solo 43% di intervistati che dichiarano di ritenere efficaci al 75% i
programmi di training e di consapevolezza organizzati dalle rispettive aziende.
Come già emerso nel Volume I, questa edizione dello studio ha evidenziato uno scarso
miglioramento del già basso punteggio assegnato al controllo sulla classificazione di inventari e
asset. Infine, solo il 43% degli intervistati giudica efficace per più del 75% la gestione del ciclo di
vita dei dati, riportando un calo del 17% rispetto al Volume I. La scarsità di questi controlli lascia
presumere che agli asset spetterà lo stesso trattamento, così che alcuni sistemi, processi e oggetti
finiranno per essere sovraprotetti, mentre altri saranno sottoprotetti dal rischio IT, generando
notevoli inefficienze in termini di costi e servizio.

Il Volume II dell'IT Risk Management Report ha messo in evidenza un aumento del 10% nel
numero di partecipanti che giudica efficace per più del 75% lo sviluppo di applicazioni sicure. Dal
report è inoltre emerso che il problem management sta suscitando una sempre maggiore attenzione.

Quarto mito: la gestione del rischio IT è già diventata una disciplina formale

Lo studio evidenzia come la gestione del rischio IT sia una disciplina di business in costante
evoluzione, piuttosto che una scienza precisa: questo fatto è dovuto alla fiducia nell'esperienza
maturata da individui e organizzazioni che si trovano a dover stare al passo con ambienti
tecnologici e business in continuo cambiamento. Esiste una comprensione più profonda del fatto
che la gestione del rischio IT integra elementi di gestione operativa del rischio, di controllo della
qualità e di governance sul piano business e IT. Inoltre, è possibile che i professionisti vedano la
gestione del rischio IT come un insieme di principi rigidi e di relazioni fisse applicabili
universalmente attraverso settori verticali e aree geografiche.

Le differenze fra i mercati verticali

Lo studio ha inoltre fotografato lo status della gestione del rischio IT nei differenti mercati verticali.
Nello specifico è emerso che gli intervistati del comparto sanitario si aspettano il maggior numero
di incidenti IT rispetto a tutti gli altri segmenti industriali; data la complessità e la natura alquanto
personalizzata tipiche dei servizi sanitari, oltre ai rigidi requisiti di conformità normativa, ciò genera
non poche preoccupazioni. Il settore delle telecomunicazioni si è aggiudicato la prima posizione per
quanto riguarda l'applicazione dei controlli alla gestione del rischio IT, seguito a ruota dal comparto
bancario e da quello dei servizi finanziari. Un successo molto probabilmente determinato da una
maggiore governance e da un esame più attento della conformità che caratterizzano questi ambiti,
unitamente alla preoccupazione di dover garantire la tutela dei dati personali.

“Giunto al suo secondo anno, l'IT Risk Management Report offre ai professionisti IT e al top
management un'analisi dettagliata e mirata della disciplina della gestione del rischio IT proponendo
una panoramica completa di ciò che funziona e di ciò che invece non va, fino a fornire linee guida e
best practice applicabili per un'efficace implementazione dei programmi”, ha commentato David
Thompson, Group President, Symantec Information Technology and Services Group.
“Comprendere meglio la disciplina della gestione del rischio IT dà alle organizzazioni gli strumenti
adatti per assumere rischi calcolati in totale fiducia e utilizzare l'IT per trarre vantaggio
competitivo”.

Symantec IT Risk Management Report Volume II è disponibile all'indirizzo

http://www.symantec.com/business/theme.jsp?themeid=inform.
A proposito di Symantec

Symantec è il leader globale nella creazione di soluzioni studiate per la sicurezza, la disponibilità e l’integrità delle
informazioni di consumatori e imprese. L’azienda aiuta i propri clienti a proteggere le loro infrastrutture, informazioni e
relazioni fornendo software e servizi per fronteggiare i rischi connessi alla sicurezza, accesso, compliance a prestazioni.
Con sede a Cupertino, in California, Symantec è presente in oltre 40 paesi. Per ulteriori informazioni, consultare il sito
web all’indirizzo www.symantec.com o www.symantec.it

###
NOTE PER GLI EDITORI: Per maggiori informazioni riguardo Symantec Corporation e i suoi prodotti è possibile
visitare la Symantec News Room all'indirizzo http://www.symantec.com/news.

Symantec e il logo Symantec sono marchi o marchi registrati di Symantec Corporation o di sue consociate negli Stati
Uniti e in altri Paesi. Gli altri nomi citati possono essere marchi appartenenti ai rispettivi proprietari.