La digitalizzazione nel rapporto con i propri clienti rende sempre più necessaria l’implementazione di sistemi di sicurezza che assicurino ai consumatori lo stesso livello di fiducia che avrebbero attraverso canali di vendita fisici. Tuttavia, le aziende italiane hanno ancora molta strada da fare per offrire un’interazione sicura con i loro clienti sopratutto per l’identità digitale. Questa è una delle principali conclusioni del rapporto “La digitalizzazione delle vendite in Italia”, realizzato da Minsait in collaborazione con gli Osservatori Digital Innovation del Politecnico di Milano.
Secondo il rapporto, la sicurezza dell’identità digitale e la protezione degli accessi ai canali online non è ancora una priorità per le aziende italiane. Il 73% delle aziende italiane con canali online dichiara di affidarsi a sistemi basati su un singolo fattore di autenticazione. Solo il 13% delle organizzazioni fa affidamento a sistemi basati su un doppio fattore di autenticazione, che verificano l’identità attraverso due step non correlati tra loro (ad esempio password e biometria). Infine, solo il 2% delle aziende ha implementato sistemi di autenticazione adattiva, in grado di misurare il livello di rischio e inserendo un secondo passaggio di sicurezza solo se necessario.
Lato sicurezza delle infrastrutture e applicazioni in Cloud, tra le organizzazioni vi è, invece, un buon livello di attenzione nella ricerca di vulnerabilità che possono permettere ad attori malevoli di accedere ai sistemi aziendali. Il 33% delle imprese si affida a strumenti di application security in modalità Interactive Application Security Testing (IAST) e Dynamic Application Security Testing (DAST), mentre il 13% preferisce strumenti di Vulnerability Assessment (VA) e Penetration Test (PT). Il 35% del campione svolge valutazioni periodiche utilizzando tutte queste modalità in modo diversificato. Il restante 19% delle aziende non ha stabilito una chiara strategia di identificazione delle vulnerabilità di applicazioni e infrastrutture e rischia di farsi cogliere impreparato.
In merito alla protezione dei dati, l’82% delle organizzazioni utilizza soluzioni di backup e recovery per proteggere i dati, mentre il 56% usa soluzioni di Data discovery & classification per identificare e classificare i dati attribuendo loro diversi requisiti di sicurezza. Il 52% delle organizzazioni utilizza soluzioni di Data masking per mascherare i dati sensibili attraverso tecniche di anonimizzazione o crittografia. Solo il 27% utilizza soluzioni di Identity & access management per gestire e monitorare gli accessi degli utenti a infrastrutture, applicazioni e dati critici.
Un impulso a dotarsi di soluzioni per la sicurezza dei dati deriva anche dalla necessità di compliance ai requisiti imposti dalla normativa: l’83% delle aziende italiane ha completato i propri progetti di adeguamento al GDPR, la normativa di riferimento per la protezione dei dati personali, e un ulteriore 10% dichiara che sono in corso progetti di adeguamento, nonostante la piena applicabilità della regolamentazione risalga al 2018.
“Dotarsi di tecnologie, metodi e processi di sicurezza digitale non significa solo proteggere i dati sensibili e il patrimonio informativo delle organizzazioni, ma anche guadagnare la fiducia dei consumatori che si sentono al sicuro a interagire con le aziende attraverso i canali di vendita digitali”, ha affermato Sergio Scornavacca, direttore Cybersecurity di Minsait in Italia e Amministratore di Net Studio, l’azienda del Gruppo specializzata in Cybersecurity, Digital Identity e Access Management.
Confronto tra settori
Il settore che risulta più attento alla sicurezza nelle interazioni con i clienti è quello bancario. Il 55% delle aziende in questo settore è dotato di sistemi di autenticazione basati su doppio fattore (contro il 13% della media) e sta sperimentando in maniera più diffusa l’implementazione di sistemi di autenticazione adattiva (13% contro il 2% della media). Anche le Pubbliche Amministrazioni e le aziende sanitarie, in parte spinti da obblighi normativi, hanno messo in sicurezza l’accesso degli utenti ai portali online: il 79% delle PA e il 70% delle strutture sanitarie offrono ai clienti la possibilità di accedere sia attraverso credenziali proprietarie sia attraverso sistemi di identità digitale nazionali (come SPID e CIE).
Per quanto riguarda le attività di security assessment, i settori più virtuosi sono quello Bancario e Assicurativo e delle Utility: in entrambi i casi la totalità delle aziende svolge attività periodiche di individuazione delle vulnerabilità applicando diverse modalità. Settori più carenti da questo punto di vista sono quello Manifatturiero e quello Telco e Media, in cui si prediligono attività svolte all’occorrenza una tantum. Anche nella PA si denota un livello di attenzione al tema non sempre sufficiente: il 37% delle organizzazioni sembra non aver stabilito una chiara strategia di identificazione delle vulnerabilità di applicazioni e infrastrutture.
I settori più attenti alla compliance normativa sono anche quelli caratterizzati da una maggiore pressione regolamentare, ovvero settore Bancario ed Energy&Utility. Anche il settore pubblico vede un’altissima adozione del regolamento GDPR, il 99% delle PA e delle strutture sanitarie dichiara di aver completato i processi di adeguamento.