Fra le tematiche di sicurezza che affliggono le aziende, risultano sicuramente più evidenti – almeno in termini di immagine – quelle che hanno a che fare con gli attacchi provenienti da hacker più o meno organizzati, che provocano disservizi di varia entità, con riflessi anche a livello economico. Tuttavia, fra gli elementi che occorre tenere sempre più in conto quando si affrontano argomenti di “sicurezza” in senso lato, i rischi provenienti dall’utilizzo scorretto, se non addirittura fraudolento, di informazioni e dati sia da parte di utenti interni sia dall’esterno, sono fonte di danni sia economici sia in termini di immagine.
Prendendo spunto da alcuni recenti casi che hanno coinvolto realtà internazionali di primaria importanza, ZeroUno, in partnership con Attachmate e NetConsulting, ha promosso una websurvey sul tema “Fraud Management & Security”, di cui vengono presentati i principali risultati, dai quali emerge una situazione variegata e molto legata alla dimensione delle aziende che, per modello organizzativo, risorse operative e finanziarie, adottano atteggiamenti differenti nei riguardi di questa tematica.
All’indagine hanno risposto 116 aziende attive prevalentemente nei settori Ict (26%), Finance (18%) e Industria (16%) ma anche nel mondo dei Servizi (10%), Pubblica Amministrazione (8%), Commercio (7%) e Trasporti (7%). A livello dimensionale, oltre la metà del panel è composto da grandi realtà, con oltre 500 addetti così come a livello di fatturato la metà del panel registra valori prossimi o superiori ai 250 milioni di euro.
Le aziende, con una sensibilità crescente e correlata alla dimensione aziendale (figura 1), hanno indicato la consapevolezza di essere soggetti a rischio di frode che, per la maggior parte delle stesse, si esplicita nel furto di dati sensibili, nei sabotaggi (preoccupazione maggiormente rilevata nelle medie aziende, con fatturati tra 11 e 250 milioni di euro), frode finanziaria (tema particolarmente critico per le grande aziende, con fatturati superiori ai 250 milioni) e furto di proprietà intellettuali (per esempio progetti e brevetti, problema sentito da piccole e medie aziende).
Compliance, ma non solo
La stessa tendenza si rileva relativamente al livello di conoscenza delle aziende su normative specifiche in tema di fraud management: nelle piccole realtà solo il 36% ne è consapevole, mentre il valore cresce al 47% nelle medie e al 63% nelle grandi. Per tutte, la principale normativa esistente è rappresentata dal codice sulla privacy, seguito poi da normative più settoriali o specifiche. Al crescere della dimensione aziendale, aumenta anche il livello di attenzione sulla normativa della privacy, così come si rileva maggior propensione a un atteggiamento di tipo preventivo in tema di compliance, che vede le aziende implementare regole e policy anche prima che la legge le imponga: atteggiamento opposto si registra invece nelle piccole realtà che, per mancanza spesso di strutture adeguate, adottano un atteggiamento puramente reattivo.
L’analisi ha permesso di evidenziare come la percezione di essere soggetti a rischi di frode non sia correlata all’appartenenza a determinati settori ma sia trasversale tra le aziende del panel, anche se punte di maggiore “predisposizione” al rischio si registrano nelle aziende del comparto finanziario.
Figura 1 – Livello di percezione del rischio di frode
Fonte – ZeroUno – NetConsulting Websurvey Fraud Management – Novembre 2012 – Campione 116 aziende
L’adozione di soluzioni e comportamenti volti a mitigare il rischio di frodi non deriva solo dalla legislazione: le aziende sono infatti consapevoli che ad aumentare la propria esposizione contribuiscono attivamente le innovazioni tecnologiche che raggiungono livelli di diffusione di massa. Tra queste, i principali indiziati sono i device mobili, sia di proprietà dell’azienda sia del dipendente i quali, una volta connessi ai sistemi e alle applicazioni aziendali, diventano potenzialmente degli strumenti o dei veicoli per perpetrare varie frodi. Alla tematica del mobile si affianca inoltre quella del cloud (in cui la sicurezza risulta ancora essere il principale elemento di freno all’adozione da parte dalle aziende) e in generale l’apertura al mondo web nelle varie sfaccettature, tra cui la navigazione Internet, l’accesso a siti social/2.0 o l’apertura al mondo e-commerce che, se da un lato è un canale di vendita necessario per le strategie di determinate aziende, dall’altro può diventare una “porta” per potenziali frodi: dirette ma anche indirette, in quanto in grado di generare falle nei sistemi sfruttate da potenziali hacker.
Fraud Manager: una nuova figura
Allo scopo di mitigare il rischio di frode a cui sono soggette, una parte delle aziende sta iniziando un percorso volto a governare il problema: i risultati della survey (figura 2) mostrano come, coerentemente con la sensibilità sulla tematica, le aziende medie e grandi siano più avanti rispetto alla creazione a livello istituzionale della figura del fraud manager, che complessivamente è presente solamente nel 14% delle aziende (20% nelle grandi aziende), con un ulteriore 7% che prevede di introdurlo nel corso del 2013. Va tuttavia sottolineato il fatto che, complessivamente, circa l’80% delle aziende non ha, e non prevede di istituire, questa figura e tra queste aziende si trovano realtà che hanno indicato di essere altamente soggette al rischio di frode.
Il fraud manager – laddove presente – si colloca principalmente all’interno della struttura che segue l’audit e il risk management (33% dei casi) o nell’area dedicata alla sicurezza aziendale (25%). In misura minore si ritrova nella struttura Ict (rispondendo sia al Cio sia al responsabile della sicurezza informatica) mentre in rari casi il fraud manager si trova nella divisione “organizzazione” delle aziende. Laddove questa figura non sia stata istituita, le attività vengono svolte dal responsabile dei sistemi informativi (43% dei casi) o da altre figure, tra cui la più segnalata – in particolare nelle grandi aziende – è il responsabile della sicurezza aziendale.
Figura 2 – Modello organizzativo utilizzato dall’azienda per fronteggiare il rischio di frode
Fonte – ZeroUno – NetConsulting Websurvey Fraud Management – Novembre 2012 – Campione 116 aziende
Le contromisure adottate
A livello operativo, indipendentemente da quale sia la figura chiamata a svolgere il ruolo di “fraud manager”, le aziende hanno adottato una serie di azioni volte a individuare possibili aree di rischio ed eventuali contromisure. Le principali azioni svolte (figura 3) hanno riguardato risk assessment e revisione dei processi aziendali, al fine di individuare quelli più critici su cui implementare una serie di iniziative supportate dall’Ict, ma anche azioni più basilari come introduzione di barriere fisiche all’accesso o stesura e condivisione di policy e regole di comportamento interne nella gestione e nel trattamento di dati e informazioni. Generalmente le policy vengono definite dalla struttura Ict o dalla direzione generale, che svolgono anche il ruolo di principale sponsor alla loro definizione, affiancata nelle grandi realtà dalla direzione Audit e Risk management.
Figura 3 – Attività implementate in azienda volte a prevenire frodi
Fonte – ZeroUno – NetConsulting Websurvey Fraud Management – Novembre 2012 – Campione 116 aziende
Solo una parte minoritaria delle aziende (e anche in questo caso le più dinamiche sono quelle di maggiori dimensioni) ha introdotto strumenti più evoluti e in grado di tracciare e segnalare in tempo reale comportamenti anomali e quindi potenziali frodi. Le piccole e medie aziende si sono limitate a predisporre regole di comportamento o adottare strumenti basilari (per esempio identificazione per l’accesso ai sistemi informatici, policy per la responsabilizzazione dei dipendenti, audit periodici) ma non hanno adottato strumenti specifici in grado di porre fine a un potenziale evento doloso una volta che venga messo in atto: sono infatti solo le grandi realtà ad aver implementato soluzioni per crittografare i documenti o in grado di analizzare e correlare log (sia real time che ex-post) in grado di risalire al percorso (e quindi all’utente) responsabile della frode. Questa disparità tra grandi realtà ed aziende medio-piccole si rileva anche dal punto di vista del budget Ict: infatti ben il 42% delle grandi realtà ha predisposto budget specifici per la gestione delle frodi mentre questo valore scende al 19% nelle medie e al 7% nelle piccole aziende. La rilevanza del budget dedicato alle frodi aumenta se confrontato con il budget dedicato alla sicurezza Ict delle aziende: infatti generalmente può pesare fino al 25% dello stesso, con punte anche superiori in determinate realtà industriali di media e grande dimensione in cui l’esigenza di preservare progetti e brevetti è particolarmente sentita.
A livello di trend invece, pur in presenza di una certa stabilità per il 2013 e 2014, non mancano realtà che hanno indicato una crescita della spesa destinata alla tematica, già nel 2013 ma in particolare in un orizzonte temporale di medio periodo (2014-2015), quando le aziende sperano di avere a disposizione risorse adeguate da investire nella tematica. La speranza è che non sia troppo tardi.
* Riccardo Zanchi è Partner di NetConsulting
* Alessandro Croci è Senior Analyst di NetConsulting
