Cresce l’attenzione delle imprese italiane per la sicurezza informatica secondo l’Osservatorio Information Security & Privacy del Politecnico di Milano
In quello che sarà ricordato come “l’anno dell’Hack”, con la scoperta delle violazioni di 500 milioni di account Yahoo, le presunte azioni di cyberspionaggio durante le elezioni presidenziali americane, la crescita dei ransomware, l’attacco a uno dei principali DNS provider, cresce l’attenzione delle imprese italiane per la sicurezza informatica. Il mercato delle soluzioni di information security in Italia nel 2016 raggiunge i 972 milioni di euro, in crescita del 5% rispetto 2015, con una spesa concentrata tra le grandi imprese (74% del totale) suddivisa tra tecnologia (28%), servizi di integrazione IT e consulenza (29%), software (28%) e managed service (15%). Sebbene cresca la consapevolezza, di fronte alle nuove sfide poste dallo sviluppo di tecnologie come Cloud, Big Data, Internet of Things, Mobile e Social, non è ancora diffuso un approccio di lungo periodo alla gestione della sicurezza e della privacy, con una chiara struttura di governo: solo il 39% delle grandi imprese ha un piano di investimento con orizzonte pluriennale e solo il 46% ha in organico in modo formalizzato la figura del Chief Information Security Officer, il profilo direzionale a capo della sicurezza. Sono alcuni dei risultati della ricerca dell’Osservatorio Information Security & Privacy della School of Management del Politecnico di Milano *, presentata questa mattina al convegno “Cyber Crime: La minaccia invisibile che cambia il mondo”.
“Il Cyber Crime è una minaccia concreta anche se spesso invisibile, in grado di condizionare il mondo, come dimostrano i quotidiani fatti di cronaca, che richiede nuovi strumenti e modelli per farvi fronte – afferma Gabriele Faggioli, Responsabile scientifico dell’Osservatorio Information Security & Privacy -. I nuovi trend dell’innovazione digitale come Cloud, Big Data, Internet of Things, Mobile e Social richiedono nuove risposte non più rimandabili. Il nuovo Regolamento europeo sulla Protezione dei Dati Personali crea alcuni dei presupposti necessari per giungere a un quadro di riferimento, che richiede però di essere compreso ed attuato. Il percorso di gestione dell’Information Security & Privacy chiede alle aziende di mettere in campo adeguati modelli di governance, progettualità e soluzioni per affrontare la trasformazione”.
Un mercato in crescita
“Il mercato dell’information security in Italia nel 2016 vale 972 Milioni di Euro, con un tasso di crescita del 5% sul 2015, un valore importante che tuttavia non può tranquillizzarci – spiega Alessandro Piva, Direttore dell’Osservatorio Information Security & Privacy –. Se analizziamo più in profondità i dati della ricerca, infatti, ci rendiamo conto di come le grandi organizzazioni italiane siano ancora indietro: oltre la metà non ha ancora una figura manageriale codificata per la gestione della sicurezza informatica, evidenziando un gap importante rispetto a quanto avviene in altri Paesi. Inoltre si denota un ritardo nella comprensione delle implicazioni dei trend dell’innovazione digitale quali Cloud, IoT, Big Data, Mobile, sulla gestione della sicurezza. Nel contesto attuale, servono modelli di governance più maturi e trasversali, assicurando il corretto mix di competenze per gestire tecnologie sempre più pervasive. Ed è necessario da una parte progettare sistemi in grado di predire i possibili attacchi, dall’altra sviluppare programmi di sensibilizzazione per gli utenti, al fine di promuovere comportamenti responsabili”.
I progetti di sicurezza delle aziende italiane nella sicurezza sono orientati principalmente all’identificazione dei rischi e alla protezione dagli attacchi, mentre sono ancora immaturi il supporto alla rilevazione degli eventi e poi la risposta e il ripristino. I progetti più diffusi tra le grandi imprese infatti sono i penetration test e la data security (51%), network security (48%), application security (45%), endpoint security (43%), security information & event management (SIEM) (38%), messaging security (38%), web security (36%), identity governance & administration (IGA) (32%), threat intelligence (20%), transaction security (19%), social media security (16%). Le policy maggiormente presenti invece riguardano il backup (89%), la gestione degli accessi logici (84%), la regolamentazione delle policy di sicurezza informatica (80%), la gestione e l’utilizzo dei device aziendali (72%), la gestione del ciclo di vita del dato (58%), l’utilizzo di social media e web (57%), le azioni da mettere in atto in risposta agli incidenti informatici (52%), le policy di classificazione dei dati (52%) e di criptazione degli stessi (39%).
I rischi dell’Iot
Con lo sviluppo dell’Internet of Things aumenta il numero di dispositivi connessi alla rete e i possibili punti di accesso per un attacco al sistema informativo aziendale. Il 47% delle organizzazioni non ha ancora messo in atto nessuna azione per tutelarsi in questo ambito, il 41% sta valutando possibili azioni, il 13% ha Policy di security by design nella progettazione di prodotti (la messa in sicurezza con misure come il monitoraggio continuo, l’utilizzo di credenziali e pratiche di programmazione migliori), il 10% utilizza soluzioni tecnologiche specifiche, il 9% ha Policy sulla rilevazione di dati nel perimetro aziendale e il 5% per la gestione di dati raccolti da oggetti smart.
Il fattore X
Nella sicurezza è fondamentale il fattore X, l’elemento di incertezza legato al comportamento umano, come la distrazione o la mancanza di consapevolezza, utilizzato spesso dai cybercriminali per fare breccia nei sistemi aziendali. Il 95% delle organizzazioni italiane ha già avviato azioni specifiche per sensibilizzare gli utenti aziendali. Le iniziative più diffuse riguardano comunicazioni periodiche inviate ai dipendenti tramite mail (77%) e corsi di formazione attraverso sessioni d’aula o e-learning (66%). Nel 28% dei casi la formazione viene inoltre supportata dalla distribuzione spot di materiale informativo (voucher, booklet, cartellonistica). Per il 28% delle organizzazioni si tratta di veri e propri progetti strutturati di sensibilizzazione tramite diversi strumenti e coprono spesso un orizzonte pluriennale. Vengono inoltre effettuate attività di vulnerability assessment sui dipendenti aziendali (28%), per esempio tramite l’invio di finte mail di phishing o simulazioni di attacchi informatici, che servono da un lato a misurare il livello di consapevolezza dei dipendenti, dall’altro a testare l’efficacia delle iniziative già portate avanti.
Le PMI non sono pronte
L’analisi sulla diffusione delle soluzioni di information security tra circa 800 piccole e medie imprese italiane rivela che il 93% delle PMI ha dedicato un budget nel 2016, sebbene questo non corrisponda necessariamente ad un utilizzo maturo e consapevole. Le principali motivazioni agli investimenti infatti sono l’adeguamento normativo (48%) e gli attacchi subiti in passato (35%), ma a volte seguono la necessità di rispondere a nuove esigenze tecnologiche (22%) o di business (31%). La maggior parte delle PMI ha soluzioni di sicurezza di base (76%) come antivirus ed antispam ed il 62% dichiara di disporre anche di soluzioni sofisticate, come ad esempio firewall o sistemi di intrusion detection. Un’organizzazione su quattro (25%) però si fa guidare dal buon senso, senza un approccio tecnologico definito. Il 46% ha policy aziendali ben definite, mentre solo il 10% ha programmi di formazione orientati ad aumentare la consapevolezza. L’approccio alla sicurezza nelle PMI è orientato prevalentemente all’identificazione (66%) e alla protezione (66%), molto meno alla rilevazione (12%) e alla risposta (15%). L’attenzione alla rilevazione cresce all’aumentare della dimensione di impresa, passando dall’11% delle piccole imprese al 20% delle medie.
“Le PMI sembrano sottovalutare la crescita della consapevolezza dei rischi tra i propri dipendenti – rileva Alessandro Piva -. Solo il 9% delle piccole aziende (tra i 10 e i 49 addetti) ha specifici programmi di formazione per aumentare la consapevolezza delle risorse rispetto ai rischi informatici, mentre la rilevanza delle azioni di sensibilizzazione cresce con l’aumentare della dimensione aziendale, attestandosi al 20% per le aziende medio-piccole (tra i 50 e i 99 addetti) e al 24% per le imprese più grandi (tra i 100 e i 249 addetti)”.
a cura di Redazione
Condividi l'articolo
Scegli su quale Social Network vuoi condividere