AMD Planet

[Staff]

<p>L’azienda leader focalizzata sulla sicurezza, ha presentato oggi una ricerca che rivela quanto le aziende non siano in grado di proteggersi adeguatamente contro le vulnerabilità di sicurezza. Quasi la metà delle aziende intervistate (45%) ritengono che la loro infrastruttura IT non è mai protetta al 100% contro vulnerabilità software e di rete. </p>
<p>Lo studio McAfee, condotto da Ipsos Research, ha preso in esame oltre 600 responsabili delle decisioni in ambito IT in aziende con oltre 250 dipendenti in Europa. L’obiettivo era quello di comprendere meglio l’approccio adottato dalle aziende nei confronti della gestione delle patch o patch management, una delle maggiori sfide per la sicurezza informatica che le grandi aziende si trovano ad affrontare. </p>
<p> </p>
<p>            <strong>I principali risultati dell’indagine hanno rivelato che:</strong></p>
<ul type="square">
<li>Oltre un quarto (27%) degli intervistati ha affermato che sono necessarie 48 ore o più dal momento in cui viene rilasciata una patch a quando l'infrastruttura IT è totalmente protetta contro quella vulnerabilità. Uno su 5  (19%) afferma che è necessaria fino a una settimana.   </li>
<li>Oltre un terzo (36%) delle aziende Europee non sanno quante patch hanno applicato nella loro azienda negli ultimi sei mesi. </li>
<li>Il 58% dei professionisti IT intervistati non ha alcuna idea di quanto possa costare l’implementazione delle patch alla loro azienda </li>
<li>Un professionista IT su cinque (20%) passa una o più ore al giorno alla ricerca di vulnerabilità e patch </li>
<li>Il 45% degli intervistati non assegnano priorità a quali aree dell’azienda vadano implementate per prime le patch </li>
</ul>
<p> </p>
<p>In un ambiente con minacce informatiche sempre più sofisticate e veloci nel diffondersi e sistemi informatici più estesi e complessi che mai, la gestione delle patch è una delle principali preoccupazioni per molte grandi aziende. Durante il periodo necessario per rilasciare e implementare una patch in tutta l'azienda, tale organizzazione risulta vulnerabile a falle di sicurezza,  interruzioni di massa, minore produttività e infine la perdita di fiducia da parte dei clienti. </p>
<p> </p>
<p><strong>Un processo che richiede tempo </strong></p>
<p>L’implementazione delle patch è un processo complicato, in particolare per le grandi aziende – può richiedere giorni spesi a cercare, testare e implementare ogni patch. La ricerca commissionata da McAfee rivela la portata delle risorse dedicate al patch management dove il 20% degli intervistati spende una o più ore al giorno alla ricerca di patch e vulnerabilità In Italia, quasi un terzo (31%) degli intervistati dedica tale tempo alla ricerca di patch mentre in Germania tale dato scende al 24%. In Europa, un professionista IT su dieci passa 240 ore all’anno ricercando vulnerabilità, il che equivale a 5 settimane lavorative. </p>
<p> </p>
<p><strong>La finestra di vulnerabilità: sempre più dilatata</strong></p>
<p>Il tempo necessario per implementare in modo completo le patch lascia le aziende alla mercé di attacchi. In Europa, oltre un quarto ha ammesso che la finestra temporale che intercorre dal rilascio della patch alla totale implementazione è di 48 ore, se non di più. Per un'azienda europea su dieci (19%), è necessaria fino a una settimana o oltre per implementare le patch. La finestra di vulnerabilità ha un’estensione maggiore in Francia con oltre un quarto (27%) degli intervistati che impiega una settimana o più per proteggere la propria azienda da una  vulnerabilità.</p>
<p><strong> </strong></p>
<p><strong>Il costo del patch management</strong></p>
<p>Sorprendentemente, l’indagine ha rivelato che molti professionisti IT sono all’oscuro di quante patch hanno implementato e quanto ciò costa alla loro azienda. Il numero di patch rilasciate è così enorme che oltre un terzo (36%) degli intervistati in Europa non ha alcuna idea di quante patch sono state rilasciate in un periodo di sei mesi e il 58% non sa quanto tale processo costi all’azienda. Ciò nonostante IDC preveda che il mercato europeo del patch management raggiungerà 88 milioni di dollari entro il 2010.</p>
<p>Risulta chiaro, comunque, che la maggior parte delle aziende ritiene di dover dedicare più risorse alla gestione delle patch in futuro. Oltre la metà (54%) ha affermato che investirà più risorse in futuro in quest’area e le aziende tedesche sono risultate al primo posto con un 68% che pianifica tale incremento in termini di risorse. </p>
<p> </p>
<p><strong>Assegnare priorità alla protezione </strong></p>
<p>In un ambiente con minacce informatiche sempre più sofisticate e risorse IT limitate, le aziende devono implementare una strategia di patch management che rifletta tale realtà. Cuore di questo approccio deve essere l’identificazione degli asset aziendali critici e l’assegnazione di priorità alle risorse destinate a proteggere tali asset per primi. La ricerca McAfee evidenzia che le aziende europee stanno sempre più adottando tale strategia con il  45% di quelle intervistate che assegnano priorità le aree aziendali dove le patch devono essere implementate per prime. Ma l'indagine mostra inoltre che un numero significativo di aziende non focalizzano le loro risorse sulla protezione degli asset critici  contro le vulnerabilità.</p>
<p>Le aziende dovrebbero cercare di combinare un processo di gestione delle patch basato su priorità con soluzioni di blocco proattivo volte a proteggere una rete contro minacce note e sconosciute, fornendo quindi alle organizzazioni tempo aggiuntivo prezioso per ricercare e implementare le patch.</p>
<p> </p>
<p><strong>La conformità </strong></p>
<p>L’attività di patch management risulta fondamentale per le aziende anche perché può avere un impatto sulla loro conformità con un’ampia gamma di normative governative quali Sarbannes Oxley, HIPPA e MiFID. Se non si riesce a proteggere i sistemi con le patch più recenti si potrebbe incorrere in un’infrazione di tali normative. In Europa, la ricerca ha evidenziato che la maggior parte delle organizzazioni ha fatto quanto necessario con l’82% degli intervistati fiduciosi nella conformità della loro policy di patch management. </p>
<p>“Il riscontro da parte delle grandi aziende è chiaro: il patch management è una seria preoccupazione per loro,” ha affermato John Parker, Product Line Director for Intrusion Prevention, McAfee EMEA. “Le organizzazioni sono vulnerabili agli attacchi IT perché le patch di sicurezza vengono rilasciate troppo frequentemente perché le aziende possano testarle e implementare in sicurezza all’interno della loro organizzazione in modo tempestivo. L’unica soluzione per mitigare tale rischio e garantire tranquillità ai dirigenti aziendali quando si tratta della sicurezza della loro azienda è quella di combinare un processo di patch management basato su priorità con soluzioni proattive per la prevenzione delle intrusioni.”</p>
<p> </p>