Il 51% ha subito uno o più attacchi significativi nell’ultimo anno, con un trend in costante aumento

sfide della cybersecurity

Nonostante nell’ultimo anno la maggioranza delle società italiane abbia subito uno o più cyber attacchi significativi, le priorità di investimento delle organizzazioni non includono tecnologie e modelli avanzati di protezione. È il quadro delineato dall’EY Global Information Security Survey (GISS), indagine realizzata annualmente da EY che nel 2020 ha coinvolto 1.300 manager di sicurezza informatica di aziende internazionali.

Cyber security e tecnologie digitali: la gestione di una crisi non solo sanitaria

L’attuale periodo di emergenza sanitaria sta cambiando il nostro modo di lavorare e le aziende sono chiamate a rendere disponibili le necessarie tecnologie digitali per una efficiente remotizzazione del lavoro (piattaforme per video conferenze, collaborazione digitale, ecc.).

Le aziende devono allo stesso tempo garantire i medesimi livelli di sicurezza quando computer e smartphone non sono più all’interno del perimetro aziendale, tramite una corretta messa in sicurezza dei dispositivi e delle applicazioni utilizzate da remoto.

La survey rileva invece la mancanza di un approccio efficace nella gestione delle tematiche relative alla security anche a supporto delle nuove modalità di smart working: seppure il 19% degli intervistati si concentri sulle misure di connessione sicura, ad esempio tramite l’utilizzo di reti virtuali private, solo una media del 10% degli intervistati dichiara di focalizzarsi sulle principali azioni di prevenzione dalle minacce informatiche, come l’adozione dei più recenti aggiornamenti di sicurezza (patching) e la gestione dei dispositivi utilizzati dagli utenti in mobilità.

A conferma di tale tendenza, il sondaggio evidenzia inoltre un utilizzo limitato (soltanto l’1% per le aziende in Italia) di strumenti a supporto della sicurezza delle applicazioni, che in un contesto remoto diventano uno dei target principali da parte di un potenziale attaccante.

Solo il 4% delle aziende in Italia dichiara di concentrarsi sulle attività di formazione e sensibilizzazione dei dipendenti sui temi di security.

Dato preoccupante soprattutto per le aziende per le quali il lavoro da remoto ha sempre rappresentato un’eccezione, che vivono quindi l’attuale trasformazione senza un’adeguata consapevolezza da parte dei dipendenti dei possibili rischi informatici in cui possono incorrere lavorando da casa.

La survey rileva inoltre che più del 50% degli attacchi significativi subiti nel corso dell’ultimo anno per circa un’azienda italiana su tre è da imputare alla scarsa consapevolezza dei dipendenti.

In un contesto dove si registra un preoccupante incremento degli attacchi di phishing che utilizzano come oggetto l’emergenza sanitaria attuale, allo scopo di veicolare file dannosi in grado di interferire e, nei casi più gravi, bloccare il funzionamento dei dispositivi e la disponibilità dei dati aziendali per poi chiedere il pagamento di un riscatto (“ransomware”).

Fabio Cappelli, EY Cyber Security Leader per la regione Mediterranea (Italia, Spagna e Portogallo), a tale proposito evidenzia come “In una situazione di emergenza come quella attuale, i rischi cyber cui sono esposte le aziende sono amplificati, basti pensare come un attacco finalizzato al blocco dei servizi digitali possa paralizzare le aziende che in questo momento operano prevalentemente in smart working o come l’utilizzo di strumenti non soggetti alla gestione aziendale amplifichi i rischi di data leakage. Per questo motivo, dopo aver assicurato la continuità tecnologica, è necessario aumentare il livello di attenzione e vigilanza sui rischi cyber”.

Tali minacce possono avere purtroppo anche un impatto su informazioni e strutture vitali per la nostra esistenza. Si sono infatti registrati, anche nelle ultime ore, attacchi a sistemi informatici di ospedali e cliniche universitarie che hanno richiesto il rinvio di interventi e il trasferimento dei pazienti verso strutture differenti: sarebbe quindi devastante l’impatto di un attacco informatico su un sistema già caratterizzato da una estrema carenza di risorse nella gestione dell’attuale emergenza sanitaria.

Quanto stiamo vivendo rende inoltre evidente come sia necessario che le aziende investano su un modello efficace di continuità del business, che preveda piani di gestione della crisi e modalità alternative sia di erogazione dei servizi informatici (“disaster recovery”) sia di approvvigionamento dalle terze parti.

Anche su questo fronte, la survey rileva una situazione con ampi spazi di miglioramento: solo il 18% del budget di sicurezza è dedicato alle tematiche di gestione del rischio e di resilienza del business.

“Anche per settori più regolamentati dal punto di vista della continuità operativa e della resilienza al business, come quello bancario e assicurativo, il livello degli investimenti si attesta sulle medesime percentuali: 18% per il settore bancario e il 21% settore assicurativo” – commenta Fabio Colombo, EY Cyber Security leader per il settore finance in EMEIA.

Threat Landscape: aumentano le minacce dovute agli attaccanti esterni

Il report rivela che quasi il 51% delle società italiane ha subito uno o più attacchi significativi nel corso dell’ultimo anno, dato in linea con i risultati dell’anno precedente. Il 21% degli stessi è avvenuto a opera di cyber-attivisti, secondi solo ai gruppi di criminalità organizzata ai quali ne sono imputati il 26%.

In aggiunta alle minacce provenienti dall’interno (13% per attori malevoli interni, 20% dovute a negligenza del personale), aumenta quindi la rilevanza degli attori esterni che mirano sempre più a destabilizzare le organizzazioni in virtù dell’alta digitalizzazione delle aziende e della loro esposizione.

La situazione non migliora a livello di trend: la survey rileva infatti un incremento degli attacchi significativi rispetto agli ultimi 12 mesi, come confermato dal 60% degli intervistati.

Fabio Cappelli commenta così i risultati della survey: “Tali dati sono ancora più significativi alla luce della crescente attenzione delle aziende al tema, testimoniata dalla crescita degli investimenti in sicurezza, fra questi spiccano quelli legati all’introduzione o al potenziamento dei Security Operations Center che rappresentano il 30% del budget per le aziende intervistate. A questo proposito è da sottolineare che, sebbene la prevenzione sia ancora l’elemento chiave per ridurre i rischi, i SOC da soli, per quanto importanti, non sono sufficienti a difendere le aziende dagli incidenti di sicurezza significativi. Infatti, solo il 15% degli incidenti di sicurezza significativi sono stati identificati dai SOC.”

Cyber security, tecnologie avanzate e prevenzione: dinamiche da migliorare

Il contesto attuale richiede di puntare su tecnologie quali l’intelligenza artificiale e l’analisi comportamentale, che consentirebbero di ottimizzare la capacità di identificare le vulnerabilità e fronteggiare gli attacchi. La survey rileva invece che solo il 5% delle aziende dichiara una focalizzazione cyber sulle tecnologie avanzate.

Inoltre, nonostante il forte impatto mediatico dei rischi connessi alla sempre maggiore diffusione dell’internet delle cose (IoT) e della connessione di dispositivi intelligenti, solo il 5% delle aziende ammette che una iniziativa IoT richiederebbe maggiori attenzione e spending in ambito cyber security.

Secondo la survey, soltanto il 19% delle organizzazioni in Italia coinvolge le divisioni di sicurezza informatica fin dalle prime fasi di disegno delle nuove iniziative di business o tecnologiche, allo scopo di comprendere i relativi rischi di sicurezza ed individuare le misure di protezione più adeguate (“Security By Design”).

Più del 20% delle aziende dichiara invece di concentrarsi principalmente sulle attività di detection, ovvero monitoraggio e risposta agli eventi di sicurezza, in linea con la maggiore percezione aziendale del ritorno sugli investimenti (ROI) delle stesse.

In tale scenario, un intervento non tempestivo delle funzioni di cyber security ha un impatto sia sui costi sia sull’efficacia delle misure di protezione.

“Nel settore dei financial services gli investimenti in tecnologie innovative sono rivolti principalmente sull’adozione del cloud in modo sicuro e sui programmi di supporto alla digital transormation: 15% per il settore bancario e il 19% per il settore assicurativo)” – commenta Fabio Colombo.

Cyber security governance: a che punto siamo?

Uno degli aspetti in cui le aziende hanno mostrato maggiore incertezza è legato alla dimensione comunicativa e collaborativa, che impatta negativamente l’efficace integrazione della funzione cyber security all’interno dell’ambiente aziendale.

Secondo la ricerca, i team di sicurezza informatica italiani hanno generalmente una buona collaborazione con le funzioni aziendali maggiormente affini – IT, audit, risk e legal – mentre c’è distacco con altre funzioni aziendali. Il 71% degli intervistati afferma che il rapporto tra cyber security e marketing è nella migliore delle ipotesi neutrale, se non inesistente; il 58% afferma lo stesso della collaborazione con la funzione di Ricerca e Sviluppo; il 54% con le linee di business. Oltre la metà dei manager coinvolti nell’indagine (52%) afferma inoltre che anche la collaborazione con l’area finance – dalla quale dipende l’autorizzazione del proprio budget – presenta spesso logiche di contrapposizione.

Il problema dei rapporti di collaborazione delle funzioni di cyber security all’interno delle organizzazioni è soltanto uno dei sintomi dell’integrazione, ancora non organica, delle problematiche legate al rischio cyber nei processi strategico-decisionali delle aziende.

La survey riporta che per 2 aziende su 3 la funzione di cyber security non ha una rappresentanza all’interno del Consiglio di Amministrazione o dell’Executive Management.

Ne discende quindi che il CISO – Chief Information Security Officer – debba farsi carico di portare una nuova visione della cyber security, allo scopo di trasformare la sicurezza da mero costo ad opportunità e fattore abilitante alla protezione degli asset aziendali: solo il 9% degli intervistati afferma di essere in grado di quantificare l’impatto degli incidenti di sicurezza in termini di perdite finanziarie, sottolineando la difficoltà attuale di vedere nella cyber security un fattore strategico per la sopravvivenza delle aziende.

Conclusioni

I risultati della survey convergono su un aspetto fondamentale: la necessità delle organizzazioni di rendere la cyber security integrata all’interno di tutti i processi aziendali, sin dalla fase di pianificazione, con un approccio uniforme e trasversale, che permetta di stabilire una cooperazione necessaria tra le funzioni aziendali. È necessario quindi focalizzarsi sulle seguenti azioni:

  1. Sviluppare azioni concrete nella gestione della cyber security in relazione all’evoluzione della workforce e delle modalità di lavoro smart, tramite piattaforme abilitanti sicure e campagne di sensibilizzazione sui rischi di sicurezza.
  2. Garantire una gestione efficace della continuità del business, tramite modelli robusti di gestione degli scenari di crisi, di resilienza a livello tecnologico e di gestione dei servizi erogati dalle terze parti.
  3. Integrare la sicurezza informatica all’interno dei processi aziendali (“Security by design”), sin dalle prime fasi di pianificazione di tutte le iniziative sia di business sia tecnologiche, allo scopo di realizzare servizi più sicuri e meno costosi.
  4. Eseguire assessment periodici indipendenti del livello di maturità della funzione di cyber security in termini di organizzazione, processi e tecnologie, identificando i rischi cyber specifici dell’organizzazione e confrontandosi con i benchmark settoriali, allo scopo di garantire le necessarie risorse e competenze al CISO.
  5. Investire su tecnologie e modelli avanzati, come Next Generation Security Operations Center (SOC), Security Orchestration, Automation and Response (SOAR), Intelligenza Artificiale, Robotica e Behavior analytics, allo scopo di ottimizzare le capacità di prevenzione e reazione agli attacchi in constante aumento.
  6. Implementare un sistema di governance e reporting direzionale basato su una serie di indicatori di performance e di rischio che possa fornire un apporto strategico, organico e informato, a fronte delle minacce che possono interessare le organizzazioni.

Fabio Cappelli conclude: “Una volta terminata, questa emergenza darà un ulteriore slancio alla rivoluzione digitale. Le organizzazioni potranno cogliere ulteriori opportunità per crescere in competitività, a patto di saper inserire all’interno del proprio DNA la componente di security, abbandonando la concezione che sia esclusivamente un costo. La cyber security integrata all’interno di tutti i processi aziendali favorisce, infatti, un incredibile potenziale di crescita e trasformazione, fornendo una pronta difesa alle minacce del panorama attuale in continua evoluzione”.