Secondo i risultati della ricerca dell’Osservatorio Information Security & Privacy della School of Management del Politecnico di Milano, presentata al convegno “Cyber Crime: La minaccia invisibile che cambia il mondo”, cresce l’attenzione delle imprese italiane per la sicurezza informatica. Il mercato delle soluzioni di information security in Italia nel 2016 raggiunge i 972 milioni di euro, in crescita del 5% rispetto 2015, con una spesa concentrata tra le grandi imprese (74% del totale) suddivisa tra tecnologia (28%), servizi di integrazione IT e consulenza (29%), software (28%) e managed service (15%).Sebbene cresca la consapevolezza, di fronte alle nuove sfide poste dallo sviluppo di tecnologie come Cloud, Big Data, Internet of Things, Mobile e Social, non è ancora diffuso un approccio di lungo periodo alla gestione della sicurezza e della privacy, con una chiara struttura di governo: solo il 39% delle grandi imprese ha un piano di investimento con orizzonte pluriennale e solo il 46% ha in organico in modo formalizzato la figura del Chief Information Security Officer, il profilo direzionale a capo della sicurezza.
I progetti – I progetti di sicurezza delle aziende italiane nella sicurezza sono orientati principalmente all’identificazione dei rischi e alla protezione dagli attacchi, mentre sono ancora immaturi il supporto alla rilevazione degli eventi e poi la risposta e il ripristino. I progetti più diffusi tra le grandi imprese infatti sono i penetration test e la data security (51%), network security (48%), application security (45%), endpoint security (43%), security information & event management (SIEM) (38%), messaging security (38%), web security (36%), identity governance & administration (IGA) (32%), threat intelligence (20%), transaction security (19%), social media security (16%).
Le policy maggiormente presenti invece riguardano il backup (89%), la gestione degli accessi logici (84%), la regolamentazione delle policy di sicurezza informatica (80%), la gestione e l’utilizzo dei device aziendali (72%), la gestione del ciclo di vita del dato (58%), l’utilizzo di social media e web (57%), le azioni da mettere in atto in risposta agli incidenti informatici (52%), le policy di classificazione dei dati (52%) e di criptazione degli stessi (39%).
Chief Information Security Officer e Data Protection Officer – Sono poche le aziende che hanno definito una struttura di governo chiara della security. Solo nel 46% delle grandi imprese è presente in modo formalizzato la figura del Chief Information Security Officer, nel 12% è presente ma non formalizzata, nel 9% è prevista l’introduzione nei prossimi 12 mesi. Nei restanti casi non esiste una figura ed il presidio dell’information security è demandato direttamente al Chief Information Officer (28%) o a figure esterne all’ ICT (5%). Il “ritardo” italiano si conferma focalizzando le organizzazioni dove il CISO è presente: nel 65% dei casi fa parte della direzione ICT, riportando al CIO, solo in un 10% dei casi riporta direttamente al board aziendale, nel resto riporta ad una funzione security corporate, a Risk management, operations, o in casi marginali a compliance, finance o altre strutture.
Nel 18% delle imprese è formalizzata invece la figura del Data Protection Officer, nel 15% è una presenza di tipo informale. Il 31% vuole introdurre nei prossimi 12 mesi, mentre il restante 34% afferma che per il momento non saranno inserite figure di questo tipo. Nel 2% dei casi la responsabilità è delegata ad una figura esterna dell’azienda.
Mobile – La quasi totalità delle aziende italiane (il 97%) mette a disposizione dei propri dipendenti device mobili, tra notebook, smartphone e tablet e mobile business app, con rischi non solo per il possibile furto o smarrimento dei dispositivi mobili, ma anche per i possibili attacchi cyber mirati. Il 74% delle imprese italiane ha iniziative specifiche per mitigare il rischio connesso alla Mobile Security, che riguardano sia l’introduzione di piattaforme e strumenti tecnologici specifici come soluzioni di MDM (Mobile Device Management) per limitare l’utilizzo di device mobili (61%), sia la definizione standardizzata e convenzionale di regole a cui gli utilizzatori di dispositivi devono attenersi quando accedono ai sistemi e ai dati business. Il 27% delle organizzazioni ha fissato norme che limitano l’accesso a particolari applicazioni e servizi da reti esterne all’azienda e il 61% ha stabilito specifiche policy per l’utilizzo dei device mobili.
Cloud – I principali rischi per gli ambienti cloud dipendono dal rapporto col fornitore: la minaccia più importante per il 63% delle imprese è la mancanza di controllo sulle operations del service provider, per il 44% il rock in col fornitore e il data breach, per il 41% la scarsa trasparenza rispetto agli obblighi contrattuali con il fornitore. Risulta quindi evidente che non sono più le minacce tecnologiche a preoccupare le aziende ma un’attenzione sempre maggiore va riposta nella stesura del contratto e nella gestione del rapporto con i provider.
IoT – Con lo sviluppo dell’Internet of Things aumenta il numero di dispositivi connessi alla rete e i possibili punti di accesso per un attacco al sistema informativo aziendale. Il 47% delle organizzazioni non ha ancora messo in atto nessuna azione per tutelarsi in questo ambito, il 41% sta valutando possibili azioni, il 13% ha Policy di security by design nella progettazione di prodotti (la messa in sicurezza con misure come il monitoraggio continuo, l’utilizzo di credenziali e pratiche di programmazione migliori), il 10% utilizza soluzioni tecnologiche specifiche, il 9% ha Policy sulla rilevazione di dati nel perimetro aziendale e il 5% per la gestione di dati raccolti da oggetti smart.
Cyber intelligence – Le minacce informatiche diventano sempre più parte integrante del tessuto digitale aziendale e non è possibile evitare al 100% una violazione della sicurezza, così accanto all’approccio tradizionale basato sulla protezione dei sistemi, le aziende stanno cominciando ad adottare una logica di anticipazione delle minacce. L’analisi dei dati legati al mondo dell’information security è presidiata dal 57% delle organizzazioni tramite un presidio formale o informale, per l’8% c’è un presidio fuori delle attività core dell’information security, nel 35% il tema non è presidiato.
Il 32% delle imprese non utilizza dati per interpretare o anticipare criticità, mentre il restante 68% ha avviato azioni in questo ambito. L’integrazione di dati provenienti da varie fonti (dati sugli incidenti avvenuti a livello mondiale, indirizzi IP, log, URL sospette provenienti dalle segnalazioni degli utenti, ecc.) permette di sviluppare modelli di monitoraggio delle minacce, in grado di intercettare possibili anomalie e gestirle prima che la situazione diventi effettivamente critica. In alcune aziende esistono apposite strutture all’interno dei Security Operation Center, che analizzano e correlano i dati in ottica di Cyber Intelligence.
Le assicurazioni – Il mercato dell’assicurazione del rischio cyber è ancora immaturo in Italia. La copertura del rischio cyber è orientata a coprire i danni causati direttamente al sottoscrittore o a terze parti, dall’investigazione e gestione degli eventi, alla gestione delle istruttorie, alla copertura danni. Solo il 15% delle imprese ha già attive coperture assicurative, sebbene solo in poco più della metà dei casi (8%) si tratti di polizze espressamente orientate al rischio Cyber, mentre nei restanti casi si tratta di coperture generalistiche che la offrono tra le condizioni. Il 29% è in valutazione di coperture assicurative, mentre il 32% non ritiene sufficientemente maturo il mercato cyber insurance o non ritiene il problema rilevante.
Il fattore X – Nella sicurezza è fondamentale il fattore X, l’elemento di incertezza legato al comportamento umano, come la distrazione o la mancanza di consapevolezza, utilizzato spesso dai cybercriminali per fare breccia nei sistemi aziendali. Il 95% delle organizzazioni italiane ha già avviato azioni specifiche per sensibilizzare gli utenti aziendali. Le iniziative più diffuse riguardano comunicazioni periodiche inviate ai dipendenti tramite mail (77%) e corsi di formazione attraverso sessioni d’aula o e-learning (66%). Nel 28% dei casi la formazione viene inoltre supportata dalla distribuzione spot di materiale informativo (voucher, booklet, cartellonistica). Per il 28% delle organizzazioni si tratta di veri e propri progetti strutturati di sensibilizzazione tramite diversi strumenti e coprono spesso un orizzonte pluriennale. Vengono inoltre effettuate attività di vulnerability assessment sui dipendenti aziendali (28%), per esempio tramite l’invio di finte mail di phishing o simulazioni di attacchi informatici, che servono da un lato a misurare il livello di consapevolezza dei dipendenti, dall’altro a testare l’efficacia delle iniziative già portate avanti.
Le PMI – L’analisi sulla diffusione delle soluzioni di information security tra circa 800 piccole e medie imprese italiane rivela che il 93% delle PMI ha dedicato un budget nel 2016, sebbene questo non corrisponda necessariamente ad un utilizzo maturo e consapevole. Le principali motivazioni agli investimenti infatti sono l’adeguamento normativo (48%) e gli attacchi subiti in passato (35%), ma a volte seguono la necessità di rispondere a nuove esigenze tecnologiche (22%) o di business (31%). La maggior parte delle PMI ha soluzioni di sicurezza di base (76%) come antivirus ed antispam ed il 62% dichiara di disporre anche di soluzioni sofisticate, come ad esempio firewall o sistemi di intrusion detection. Un’organizzazione su quattro (25%) però si fa guidare dal buon senso, senza un approccio tecnologico definito. Il 46% ha policy aziendali ben definite, mentre solo il 10% ha programmi di formazione orientati ad aumentare la consapevolezza. L’approccio alla sicurezza nelle PMI è orientato prevalentemente all’identificazione (66%) e alla protezione (66%), molto meno alla rilevazione (12%) e alla risposta (15%). L’attenzione alla rilevazione cresce all’aumentare della dimensione di impresa, passando dall’11% delle piccole imprese al 20% delle medie.
