Aumenta la consapevolezza sul tema della protezione dei dati e delle identità digitali presso le aziende italiane che, però, faticano ad adeguare policy e organizzazione alle nuove minacce che affliggono gli ambienti cloud, Big Data, mobile, IoT e social. Solo il 39% delle grandi aziende ha un piano di investimento pluriennale in cybersecurity e meno della metà (il 46%) ha in organico un CISO (Chief Information Security Officer). Queste sono alcune delle evidenze della seconda edizione dell’Osservatorio Information Security & Privacy della School of Management del Politecnico di Milano, condotto su un campione di 148 grandi e grandissime aziende (con un numero di addetti superiore a 250 unità) e 803 PMI (con un organico compreso tra i 10 e i 249 addetti).
Il 2016, verrà ricordato come “anno dell’hack”, che ha portato alla scoperta della violazione massiccia degli account Yahoo (oltre 500 milioni quelli manomessi), del cyberspionaggio salito agli onori della cronaca in occasione delle presidenziali USA, dell’esplosione del fenomeno ransomware (si è registrato in media un attacco ogni 40 secondi), l’attenzione delle aziende italiane verso il tema della cybersecurity è cresciuta. Il mercato delle soluzioni di information security nel Belpaese, infatti, raggiunge i 972 milioni di euro di fatturato, in aumento del 5% rispetto al consuntivo 2015. La spesa appare concentrata sul segmento delle grandi e grandissime imprese (che cubano il 75% del turnover), suddivisa tra tecnologia pura (28%), servizi di integrazione e consulenza IT (29%), software (28%) e managed services (15%).
«Il cybercrime è una minaccia concreta anche se spesso invisibile, in grado di condizionare il mondo, come dimostrano i quotidiani fatti di cronaca, che richiede nuovi strumenti e modelli per farvi fronte – ha commentato Gabriele Faggioli, Responsabile scientifico dell’Osservatorio Information Security & Privacy –. I nuovi trend dell’innovazione digitale come cloud, Big Data, Internet of Things, mobile e social richiedono nuove risposte non più rimandabili. Il nuovo Regolamento europeo sulla Protezione dei Dati Personali (GDPR – ndr) crea alcuni dei presupposti necessari per giungere a un quadro di riferimento, che richiede però di essere compreso ed attuato. Il percorso di gestione dell’Information Security & Privacy chiede alle aziende di mettere in campo adeguati modelli di governance, progettualità e soluzioni per affrontare la trasformazione».
La responsabilità di CISO e CIO
I progetti attuati dalle aziende nostrane sono orientati soprattutto all’identificazione dei rischi e alla protezione dagli attacchi. Ancora in fase embrionale, invece, la rilevazione degli eventi/incidenti, l’incident response e il ripristino dell’operatività. Le policy maggiormente presenti riguardano il backup (89%), la gestione degli accessi logici (84%), la regolamentazione delle policy di sicurezza informatica (80%) la gestione dei device aziendali (72%), l’utilizzo dei social media e del web (57%) e l’incident response (52%).
«Sono ancora poche le aziende che hanno definito una struttura di governance ad hoc della security – ha spiegato Alessandro Piva, Direttore dell’Osservatorio Information Security & Privacy –. In meno della metà delle grandi aziende, il 46%, è presente in modo formalizzato un Chief Security Information Officer, nel 12% questa figura è presente ma non è formalizzata e nel 9% ne è prevista l’introduzione entro fine anno». Nei casi rimanenti o non esiste oppure (nel 28% dei casi) il presidio dell’information security è delegato alla figura del CIO (Chief Information Officer). Nel 18% delle imprese è formalizzata, invece, la figura del Data Protection Officer che nel 15% dei casi è, però, una presenza di tipo informale. Il 31% vuole introdurre la figura del DPO nei prossimi 12 mesi, mentre il restante 34% afferma che per il momento non saranno inserite figure di questo tipo nell’organico aziendali. Nel 2% dei casi, infine, questa responsabilità è delegata ad una figura esterna dell’azienda.
Laddove il CISO è presente, nel 65% dei casi riporta al CIO e solo in un’azienda su 10 riporta direttamente al board. Nella quota rimanente dei casi dipende da una funzione diversa come security corporate, risk management, operation, compliance o finance.
Telecamere e macchinari smart per veicolare gli attacchi: la IoT security
I device IoT (telecamere smart, auto connesse, macchinari industriali) si rivelano sempre più spesso veri e propri veicoli di attacco agli ambienti aziendali. Tuttavia, ben il 47% delle aziende ammette di non aver ancora messo in atto azioni specifiche per tutelarsi contro questo rischio. Solo il 13% delle organizzazioni ha adottato una strategia specificamente pensata per proteggere gli ambienti IoT e il 40% sta attualmente valutando l’implementazione di policy, soluzioni e servizi pensati appositamente per tutelare l’integrità dei dati aziendali contro i rischi degli ambienti connessi.
Tra le realtà che hanno già adottato strategie di protezione IoT, il 12% dichiara di aver attuato policy di sicurezza IoT “by design” nella progettazione dei prodotti. Questo significa che i prodotti sono nativamente pensati per rendere i componenti smart e connessi intrinsecamente più sicuri. Il 10% ha, invece, adottato soluzioni tecnologiche specifiche acquistate da fornitori esterni, il 9% ha implementato policy legate alla rilevazione dei dati lungo il perimetro aziendale e il 6% ha attuato policy specifiche per la gestione dei dati raccolti dagli oggetti smart.
Il confine dell’azienda è «mobile»
Se si guarda alle minacce agli ambienti mobile, l’Osservatorio mette in luce come la quasi totalità delle aziende italiane (il 97%) metta a disposizione dei propri dipendenti device mobili a scelta tra notebook, smartphone e tablet, e questo fa ovviamente crescere il rischio di possibili cyber attacchi mirati. Il 74% delle aziende italiane ha attuato iniziative specificamente studiate per contenere il rischio connesso alla mobile security, il 61% ha stabilito policy ad hoc per il corretto utilizzo dei device mobili e il 27% ha fissato norme che limitano l’accesso a particolari applicazioni e servizi da reti esterne all’azienda.
I timori per la nuvola
A fronte di un mercato che ricorre sempre più spesso a nuove formule di sourcing IT come il cloud, i principali rischi percepiti rispetto a questo tipo di ambienti sono legati al rapporto col fornitore: la minaccia più importante per il 63% delle imprese è, infatti, la perdita di controllo sulle operation del service provider, per il 44% è il rischio di lock-in, mentre il 41% degli intervistati cita la scarsa trasparenza rispetto agli obblighi contrattuali da parte del fornitore.
Analytics e cyber intelligence
Le minacce informatiche sono sempre più parte integrante dell’infrastruttura digitale e non è, purtroppo, possibile garantire una protezione completa dalle violazioni della sicurezza in modo economicamente sostenibile. Le aziende, però stanno iniziando ad adottare (e il 68% lo ha già fatto) una logica di anticipazione delle minacce – attuata analizzando e correlando i dati su traffico e reti, con lo scopo di anticipare le criticità – anche sfruttando i servizi offerti dai provider di sicurezza gestita.
L’X Factor: distrazione, leggerezza, imperizia sono le vulnerabilità più rischiose
Un ruolo fondamentale nella miglior protezione dei dati e degli ambienti IT aziendali lo gioca, però, quello che nell’Osservatorio viene definito il cosiddetto “fattore X”, ovvero la variabile del comportamento umano. Distrazione, scarsa consapevolezza delle ripercussioni di comportamenti “leggeri”, imperizia sono tutte attitudini del personale interno a un’organizzazione che possono facilitare il lavoro dei criminali del web. Le aziende iniziano a rendersi conto che la formazione su questo tema è fondamentale: il 95% degli intervistati ha già avviato azioni specifiche per sensibilizzare gli utenti aziendali. Le iniziative più diffuse riguardano le comunicazioni periodiche inviate ai dipendenti tramite mail (77%) e i corsi di formazione in aula o a distanza (66%). Nel 28% dei casi la formazione viene supportata dalla distribuzione di materiale informativo (voucher, booklet… ). Per il 28% delle organizzazioni si tratta di veri e propri progetti strutturati di sensibilizzazione tramite diversi strumenti, che coprono un orizzonte temporale pluriennale. Vengono inoltre effettuate attività di vulnerability assessment sui dipendenti aziendali in circa un’azienda su 3 (il 28%) tramite l’invio di finte mail di phishing o simulazioni di attacchi informatici utili per aumentare la preparazione degli utenti finali, ma anche per testare l’efficacia delle iniziative in essere.
Solo il 15% degli interpellati ha attivato assicurazioni specifiche sul rischio cyber. Il 29% del campione starebbe valutando coperture assicurative specifiche mentre il 32% non ritiene sufficientemente maturo il mercato della cyber insurance o non considera questa ipotesi come di rilievo.
