Usa il mouse, frecce o sfoglia se touch
   numero di 01/03/2017
Fare Business

Imprese italiane in ritardo nella gestione di sicurezza e privacy
Cresce il mercato dell'information security, ma le minacce su Cloud, Big Data, Internet of Things, Mobile e Social richiedono nuovi modelli di organizzazione

Il 2016 sarà ricordato come "l'anno dell'Hack", con la scoperta delle violazioni di 500 milioni di account Yahoo, le presunte azioni di cyberspionaggio durante le elezioni presidenziali americane, la crescita dei ransomware, l'attacco a uno dei principali DNS provider, cresce l'attenzione delle imprese italiane per la sicurezza informatica.
Il mercato delle soluzioni di information security in Italia nel 2016 raggiunge i 972 milioni di euro, in crescita del 5% rispetto 2015, con una spesa concentrata tra le grandi imprese (74% del totale) suddivisa tra tecnologia (28%), servizi di integrazione IT e consulenza (29%), software (28%) e managed service (15%). Sebbene cresca la consapevolezza, di fronte alle nuove sfide poste dallo sviluppo di tecnologie come Cloud, Big Data, Internet of Things, Mobile e Social, non è ancora diffuso un approccio di lungo periodo alla gestione della sicurezza e della privacy, con una chiara struttura di governo: solo il 39% delle grandi imprese ha un piano di investimento con orizzonte pluriennale e solo il 46% ha in organico in modo formalizzato la figura del Chief Information Security Officer, il profilo direzionale a capo della sicurezza.
Sono alcuni dei risultati della ricerca dell'Osservatorio Information Security & Privacy della School of Management del Politecnico di Milano.
"Il Cyber Crime è una minaccia concreta anche se spesso invisibile, in grado di condizionare il mondo, come dimostrano i quotidiani fatti di cronaca, che richiede nuovi strumenti e modelli per farvi fronte", afferma Gabriele Faggioli, Responsabile scientifico dell'Osservatorio Information Security & Privacy. "I nuovi trend dell'innovazione digitale come Cloud, Big Data, Internet of Things, Mobile e Social richiedono nuove risposte non più rimandabili. Il nuovo Regolamento europeo sulla Protezione dei Dati Personali crea alcuni dei presupposti necessari per giungere a un quadro di riferimento, che richiede però di essere compreso ed attuato. Il percorso di gestione dell'Information Security & Privacy chiede alle aziende di mettere in campo adeguati modelli di governance, progettualità e soluzioni per affrontare la trasformazione".
"Il mercato dell'information security in Italia nel 2016 vale 972 milioni di euro, con un tasso di crescita del 5% sul 2015, un valore importante che tuttavia non può tranquillizzarci", spiega Alessandro Piva, Direttore dell'Osservatorio Information Security & Privacy. "Se analizziamo più in profondità i dati della ricerca, infatti, ci rendiamo conto di come le grandi organizzazioni italiane siano ancora indietro: oltre la metà non ha ancora una figura manageriale codificata per la gestione della sicurezza informatica, evidenziando un gap importante rispetto a quanto avviene in altri Paesi. Inoltre si denota un ritardo nella comprensione delle implicazioni dei trend dell'innovazione digitale quali Cloud, IoT, Big Data, Mobile, sulla gestione della sicurezza. Nel contesto attuale, servono modelli di governance più maturi e trasversali, assicurando il corretto mix di competenze per gestire tecnologie sempre più pervasive. Ed è necessario da una parte progettare sistemi in grado di predire i possibili attacchi, dall'altra sviluppare programmi di sensibilizzazione per gli utenti, al fine di promuovere comportamenti responsabili".
I progetti di sicurezza delle aziende italiane nella sicurezza sono orientati principalmente all'identificazione dei rischi e alla protezione dagli attacchi, mentre sono ancora immaturi il supporto alla rilevazione degli eventi e poi la risposta e il ripristino.
I progetti più diffusi tra le grandi imprese infatti sono i penetration test e la data security (51%), network security (48%), application security (45%), endpoint security (43%), security information & event management (SIEM) (38%), messaging security (38%), web security (36%), identity governance & administration (IGA) (32%), threat intelligence (20%), transaction security (19%), social media security (16%).
Le policy maggiormente presenti invece riguardano il backup (89%), la gestione degli accessi logici (84%), la regolamentazione delle policy di sicurezza informatica (80%), la gestione e l'utilizzo dei device aziendali (72%), la gestione del ciclo di vita del dato (58%), l'utilizzo di social media e web (57%), le azioni da mettere in atto in risposta agli incidenti informatici (52%), le policy di classificazione dei dati (52%) e di criptazione degli stessi (39%).

Chief Information Security Officer e Data Protection Officer

Sono poche le aziende che hanno definito una struttura di governo chiara della security. Solo nel 46% delle grandi imprese è presente in modo formalizzato la figura del Chief Information Security Officer, nel 12% è presente ma non formalizzata, nel 9% è prevista l'introduzione nei prossimi 12 mesi. Nei restanti casi non esiste una figura ed il presidio dell'information security è demandato direttamente al Chief Information Officer (28%) o a figure esterne all' ICT (5%). Il "ritardo" italiano si conferma focalizzando le organizzazioni dove il CISO è presente: nel 65% dei casi fa parte della direzione ICT, riportando al CIO, solo in un 10% dei casi riporta direttamente al board aziendale, nel resto riporta ad una funzione security corporate, a Risk management, operations, o in casi marginali a compliance, finance o altre strutture. "La bontà di un piano strategico di gestione della security e della privacy passa, necessariamente, dal disegno di una struttura di governo chiara, identificando un Chief Information Security Officer", spiega Faggioli. "Un ruolo che sta evolvendo verso un profilo completo, che affianca alle competenze tecnologiche e organizzative soft skill relazionali, conoscenze del dominio di business e capacità di sviluppare e governare un team complesso. Identificare il corretto mix delle competenze appena citate non è semplice e non è univocamente valido per tutte le situazioni: il ruolo ricoperto dal CISO può essere anche manageriale, di controllo e supervisione dalla gestione del rischio alla compliance e la privacy".
Nel 18% delle imprese è formalizzata invece la figura del Data Protection Officer, nel 15% è una presenza di tipo informale. Il 31% vuole introdurre nei prossimi 12 mesi, mentre il restante 34% afferma che per il momento non saranno inserite figure di questo tipo. Nel 2% dei casi la responsabilità è delegata ad una figura esterna dell'azienda.

Le PMI

L'analisi sulla diffusione delle soluzioni di information security tra circa 800 piccole e medie imprese italiane rivela che il 93% delle PMI ha dedicato un budget nel 2016, sebbene questo non corrisponda necessariamente ad un utilizzo maturo e consapevole. Le principali motivazioni agli investimenti infatti sono l'adeguamento normativo (48%) e gli attacchi subiti in passato (35%), ma a volte seguono la necessità di rispondere a nuove esigenze tecnologiche (22%) o di business (31%). La maggior parte delle PMI ha soluzioni di sicurezza di base (76%) come antivirus ed antispam ed il 62% dichiara di disporre anche di soluzioni sofisticate, come ad esempio firewall o sistemi di intrusion detection. Un'organizzazione su quattro (25%) però si fa guidare dal buon senso, senza un approccio tecnologico definito. Il 46% ha policy aziendali ben definite, mentre solo il 10% ha programmi di formazione orientati ad aumentare la consapevolezza. L'approccio alla sicurezza nelle PMI è orientato prevalentemente all'identificazione (66%) e alla protezione (66%), molto meno alla rilevazione (12%) e alla risposta (15%). L'attenzione alla rilevazione cresce all'aumentare della dimensione di impresa, passando dall'11% delle piccole imprese al 20% delle medie. "Le PMI sembrano sottovalutare la crescita della consapevolezza dei rischi tra i propri dipendenti", rileva Piva. "Solo il 9% delle piccole aziende (tra i 10 e i 49 addetti) ha specifici programmi di formazione per aumentare la consapevolezza delle risorse rispetto ai rischi informatici, mentre la rilevanza delle azioni di sensibilizzazione cresce con l'aumentare della dimensione aziendale, attestandosi al 20% per le aziende medio-piccole (tra i 50 e i 99 addetti) e al 24% per le imprese più grandi (tra i 100 e i 249 addetti)".

Gli ambiti da proteggere

Mobile - La quasi totalità delle aziende italiane (il 97%) mette a disposizione dei propri dipendenti device mobili, tra notebook, smartphone e tablet e mobile business app, con rischi non solo per il possibile furto o smarrimento dei dispositivi mobili, ma anche per i possibili attacchi cyber mirati. Il 74% delle imprese italiane ha iniziative specifiche per mitigare il rischio connesso alla Mobile Security, che riguardano sia l'introduzione di piattaforme e strumenti tecnologici specifici come soluzioni di MDM (Mobile Device Management) per limitare l'utilizzo di device mobili (61%), sia la definizione standardizzata e convenzionale di regole a cui gli utilizzatori di dispositivi devono attenersi quando accedono ai sistemi e ai dati business. Il 27% delle organizzazioni ha fissato norme che limitano l'accesso a particolari applicazioni e servizi da reti esterne all'azienda e il 61% ha stabilito specifiche policy per l'utilizzo dei device mobili.

Cloud - I principali rischi per gli ambienti cloud dipendono dal rapporto col fornitore: la minaccia più importante per il 63% delle imprese è la mancanza di controllo sulle operations del service provider, per il 44% il "rock in" col fornitore e il "data breach", per il 41% la scarsa trasparenza rispetto agli obblighi contrattuali con il fornitore. Risulta quindi evidente che non sono più le minacce tecnologiche a preoccupare le aziende ma un'attenzione sempre maggiore va riposta nella stesura del contratto e nella gestione del rapporto con i provider.
IoT - Con lo sviluppo dell'Internet of Things aumenta il numero di dispositivi connessi alla rete e i possibili punti di accesso per un attacco al sistema informativo aziendale. Il 47% delle organizzazioni non ha ancora messo in atto nessuna azione per tutelarsi in questo ambito, il 41% sta valutando possibili azioni, il 13% ha Policy di security by design nella progettazione di prodotti (la messa in sicurezza con misure come il monitoraggio continuo, l'utilizzo di credenziali e pratiche di programmazione migliori), il 10% utilizza soluzioni tecnologiche specifiche, il 9% ha Policy sulla rilevazione di dati nel perimetro aziendale e il 5% per la gestione di dati raccolti da oggetti smart.



Fare Business


Condividi su LinkedIn numero di 01/03/2017
Torna al SOMMARIO








SEGUICI