PER ULTERIORI INFORMAZIONI CONTATTARE:

Emanuela Lombardo Francesco Petrella – Nadia Lauria

Symantec Italia Pleon
02/241151 02/0066290
emanuela_lombardo@symantec.com francesco.petrella@pleon.com, nadia.lauria@pleon.com

Symantec: una nuova ricerca evidenzia crepe nella sicurezza delle piccole imprese
europee e italiane

Le piccole e medie imprese non riescono a tenere il passo delle minacce emergenti:
per quasi un quinto di esse la conseguenza è la perdita di business

Reading, UK - 23 settembre 2008 - Symantec Corp (Nasdaq: SYMC) ha pubblicato una ricerca condotta su scala
europea per analizzare l'atteggiamento delle piccole aziende nei confronti della sicurezza. Lo studio ha rivelato falle e
carenze fondamentali sotto l'apparente attenzione alla sicurezza mostrata dalle aziende. Il dato forse più preoccupante è
che il 17% di intervistati ha ammesso di aver perso sensibili opportunità di business a causa di recenti problemi nella
sicurezza; quasi uno su dieci ha riportato anche perdite finanziarie.

La ricerca, realizzata sulla base di 874 intervistati appartenenti a nove Paesi europei, ha riscontrato che nonostante la
diffusa coscienza delle minacce "comuni" come virus (93%), spam (91%) e Trojan horse (82%), una significativa
porzione del campione possiede misure inadeguate ad affrontare altri potenziali rischi causati da minacce più recenti
come le cosiddette reti “botnet”, ossia reti di computer collegati ad Internet che, a causa di falle nella sicurezza,
vengono infettati da virus informatici o trojan i quali consentono ai loro creatori di controllare il sistema da remoto per
scagliare attacchi contro qualsiasi altro sistema in rete. Ne è la prova il 48% di intervistati che ha affermato di non
sapere cosa sia una botnet.

L'indagine sottolinea inoltre che nonostante le iniziative di sensibilizzazione su vasta scala promosse dall'industria della
sicurezza, i dipendenti delle piccole aziende non comprendono ancora come ciascuno sia responsabile di un ambiente IT
sicuro. I dati affermano che il 40% pensa che la sicurezza sia compito esclusivamente del responsabile IT, mentre il
32% pensa sia responsabilità dell'amministratore.

Alla domanda relativa alle modalità di implementazione delle soluzioni per la sicurezza IT, solo il 38% ha affermato di
dipendere da una società IT specializzata, mentre il 39% acquista soluzioni pacchettizzate anche presso catene retail -
un dato preoccupante poiché le catene retail non vendono in genere soluzioni di classe business. Ancora più
sorprendente risulta essere la rivelazione secondo la quale un'azienda su dieci si protegge avvalendosi del software
regalato insieme con le riviste.

"I risultati suggeriscono che raramente le aziende installano in maniera proattiva l'infrastruttura appropriata per gestire
uno scenario dinamico come quello delle minacce", ha dichiarato John Brigden, Senior Vice President, Europe, Middle
East, and Africa Geography di Symantec. “Le soluzioni antivirus e i firewall sono pilastri essenziali ma, da soli, non
sono sufficienti a proteggere in modo adeguato un'azienda. Senza una protezione completa le piccole aziende corrono
un rischio significativo".

"Il blocco dei sistemi e la perdita di informazioni sono tra le maggiori minacce al brand di un'azienda, alla fedeltà dei
clienti e, in ultima analisi, alla generazione di fatturato. E’ quindi necessario che le piccole imprese capiscano che una
semplice e conveniente gestione della sicurezza IT deve essere in grado di assicurarne la resistenza anche di fronte ad
un tentativo più diretto di far breccia nei sistemi di sicurezza aziendale" ha proseguito Brigden.

Il 22% delle aziende intervistate ha sperimentato nell'ultimo anno un attacco o un crash di sistema che ha portato alla
perdita di informazioni e, di conseguenza, a una perdita di business. Primi candidati a tali attacchi sono stati virus,
worm e Trojan. Dovrebbe inoltre impensierire gli imprenditori europei anche il dato relativo agli intervistati che hanno
denunciato crash di sistema o perdite di informazioni a causa di errori dei dipendenti: ben il 34%.

"Le ragioni della mancanza di preparazione sono state inoltre evidenziate quando è stata chiesta la frequenza con cui
viene aggiornata la sicurezza IT ", ha ricordato Brigden. "Solo il 48% lo fa quotidianamente; il 17% settimanalmente e
il 12% mensilmente. La più grossa preoccupazione è comunque relativa al 5% che esegue gli aggiornamenti una volta
all'anno, e il 37% 'quando è pronto un update'. Per non parlare del 9% che esegue gli aggiornamenti solo nel momento
in cui si trova sotto attacco!".

I responsabili IT, interrogati circa i rischi presentati dalle infrastrutture e dai sistemi IT attuali, hanno espresso maggior
preoccupazione nei confronti delle reti wireless (72%), con il 33% che ha invece indicato telefonia IP e telefonia
mobile.

I dati in breve

La causa:
• L'85% degli intervistati ha dichiarato di comprendere le consuete minacce poste da virus, spam, Trojan,
spyware e worm, ma...
• Un allarmante 33% non è a conoscenza delle minacce più recenti come botnet, rootkit, pharming, whaling e
minnowing;
• Ciò si riflette nel fatto che la maggior parte possiede software antivirus (97%) e firewall (93%)
• Quasi un'azienda su tre (29%) non possiede processi di backup e recovery, il 65% non dispone di software di
crittografia e il 72% non è protetto dalle vulnerabilità;
• Il 24% degli intervistati ha ammesso che le proprie soluzioni per la sicurezza non coprono tutti i dipendenti;
• Due terzi delle aziende con meno di 100 dipendenti non possiede un responsabile IT dedicato;
• Meno della metà (47%) ritiene che il proprio ambiente sia sicuro;
• Il 26% non è interessato dal momento che non ha mai subito attacchi gravi.

L'effetto:
• Quasi un quarto del campione intervistato (22%) ha sperimentato nell'ultimo anno un attacco che ha portato
alla perdita di dati;
• Il 41% di chi ha subito attacchi ha dato la colpa a guasti di sistema ed effrazioni alla sicurezza, mentre il 34%
gli errori dei dipendenti;
• Il 17% ha perso occasioni di business a causa di un attacco IT;
• Il 35% afferma che i nuovi dipendenti non ricevono istruzioni in merito alle policy di sicurezza dell'azienda;
• Il 25% non possiede alcuna policy IT.

Gli ostacoli:
• Secondo il 23%, la creazione di un ambiente più sicuro è stata ostacolata dai costi;
• Il 15% ha affermato che la sicurezza non è ritenuta prioritaria dal management, anche se il 32% ritiene che la
responsabilità della protezione dell'azienda competa al suo amministratore;
• Un terzo (32%) ha indicato nella carenza di tempo e di conoscenze la causa della compromissione della
sicurezza;
• Nonostante questa carenza di conoscenze, il 39% degli intervistati ha acquistato le proprie soluzioni dagli
scaffali dei negozi e, uno su dieci addirittura usa versioni gratuite fornite insieme con riviste.

La situazione in Italia
L’analisi del campione italiano, composto da 142 intervistati, mostra una situazione sostanzialmente in linea con la
media europea.

Il 22% di intervistati (contro il 17% in Europa) ha ammesso di aver perso sensibili opportunità di business a causa di
recenti problemi nella sicurezza; più di uno su dieci ha riportato anche perdite finanziarie. Tuttavia, il 29% delle aziende
intervistate ha un It Manager dedicato contro il 33% degli altri paesi.

Anche da noi è molto diffusa la consapevolezza delle minacce comuni come virus (99%), spam (93%) e Trojan horse
(88%), con invece una scarsa cognizione delle nuove minacce come le reti “botnet” (ignorate dal 57%) o le tecniche di
whaling (60%), minnowing (62%), rootkit (50%) e pharming (45%).

L'indagine sottolinea come ben il 42% delle aziende interpellate non utilizza soluzioni di sicurezza estese a tutti i
dipendenti, un dato di gran lunga superiore alla media europea (19%).

Il 29% ritiene che la sicurezza IT sia compito di tutti, mentre il 42% pensa sia competenza responsabilità esclusiva del
responsabile IT e il 29% crede sia responsabilità dell'amministratore delegato.

Alcuni intervistati (il 33% in Italia contro il 25% mediamente in Europa) dichiarano che la propria azienda non possiede
una policy IT.
Appena il 35% dichiara di dipendere da una società IT specializzata per l’implementazione delle soluzioni per la
sicurezza IT, il 48% acquista soluzioni pacchettizzate anche presso catene retail, mentre un'azienda su undici si protegge
avvalendosi del software regalato insieme con le riviste.

Il 13% delle aziende intervistate ha sperimentato nell'ultimo anno un attacco o un crash di sistema che ha portato alla
perdita di informazioni e, di conseguenza, a una perdita di business. Anche da noi al primo posto tra i responsabili degli
attacchi virus, worm e Trojan (78%). Anche se inferiore alla media europea, resta lo stesso preoccupante il dato relativo
a crash di sistema o perdite di informazioni a causa di errori dei dipendenti, pari al 22%.

In merito alla frequenza con cui viene aggiornata la sicurezza IT, il 55% lo fa quotidianamente; il 12% settimanalmente
e il 10% mensilmente. Solo l’1% esegue gli aggiornamenti una volta all'anno, mentre l’11% lo fa 'quando è pronto un
update' e il 2% nel momento in cui si trova sotto attacco.

Reti wireless (67%), telefonia IP (43%) e telefonia mobile (28%) sono anche in Italia le infrastrutture e i sistemi
considerati maggiormente a rischio.

A proposito di Symantec
Symantec è il leader globale nella creazione di soluzioni studiate per la sicurezza, la disponibilità e l’integrità delle
informazioni di consumatori e imprese. L’azienda aiuta i propri clienti a proteggere le loro infrastrutture, informazioni e
relazioni fornendo software e servizi per fronteggiare i rischi connessi alla sicurezza, accesso, compliance a prestazioni.
Con sede a Cupertino, in California, Symantec è presente in oltre 40 paesi. Per ulteriori informazioni, consultare il sito
web all’indirizzo www.symantec.com o www.symantec.it

###
NOTE PER GLI EDITORI: Per maggiori informazioni riguardo Symantec Corporation e i suoi prodotti è possibile
visitare la Symantec News Room all'indirizzo http://www.symantec.com/news.

Symantec e il logo Symantec sono marchi o marchi registrati di Symantec Corporation o di sue consociate negli Stati
Uniti e in altri Paesi. Gli altri nomi citati possono essere marchi appartenenti ai rispettivi proprietari.