Aumenta la consapevolezza sul tema della protezione di dati e identità digitali, ma le minacce che affliggono gli ambienti cloud, Big Data, Internet of Things e social impongono una riorganizzazione dei ruoli e dei team. Solo il 39% delle grandi aziende ha un piano di investimento pluriennale in cybersecurity e meno della metà (il 46%) ha in organico un CISO (Chief Information Security Officer). Presentati i risultati dell'Osservatorio Information Security & Privacy della School of Management del Politecnico di Milano, condotto su un campione di 148 grandi e grandissime aziende (con un numero di addetti superiore a 250 unità) e 803 PMI (con un organico compreso tra i 10 e i 249 addetti).

In quello che verrà ricordato come "anno dell'hack", che ha portato alla scoperta della violazione massiccia degli account Yahoo (oltre 500 milioni quelli manomessi), del cyberspionaggio che (pare) abbia influenzato l'esito delle presidenziali americane, dell'esplosione del fenomeno ransomware (si è registrato in media un attacco ogni 40 secondi), l'attenzione delle aziende italiane verso il tema della cybersecurity è cresciuta. Il mercato delle soluzioni di information security nel Belpaese, infatti, raggiunge i 972 milioni di euro di fatturato, in aumento del 5% rispetto al consuntivo 2015. La spesa appare concentrata sul segmento delle grandi e grandissime imprese (che cubano il 75% del turnover), suddivisa tra tecnologia pura (28%), servizi di integrazione e consulenza IT (29%), software (28%) e managed services (15%).

La responsabilità di CISO e CIO

I progetti sono orientati soprattutto all'identificazione dei rischi e alla protezione dagli attacchi. Ancora in fase embrionale, invece, o comunque decisamente immature la rilevazione degli eventi/incidenti, l'incident response e il ripristino dell'operatività. Le policy maggiormente presenti riguardano il backup (89%), la gestione degli accessi logici (84%), la regolamentazione delle policy di sicurezza informatica (80%) la gestione dei device aziendali (72%), l'utilizzo dei social media e del web (57%) e l'incident response (52%).

"Sono ancora poche le aziende che hanno definito una struttura di governance ad hoc della security – ha spiegato Alessandro Piva, Direttore dell'Osservatorio Information Security & Privacy –. In meno della metà delle grandi aziende, il 46%, è presente in modo formalizzato un Chief Security Information Officer, nel 12% questa figura è presente ma non è formalizzata e nel 9% ne è prevista l'introduzione entro fine anno". Nei casi rimanenti o non esiste una figura di questo tipo oppure (nel 28% dei casi) il presidio dell'information security è delegato alla figura del CIO (Chief Information Officer).

 

IoT e cyber intelligence

I device IoT (telecamere smart, auto connesse) si rivelano sempre più spesso agenti stessi e veicoli di attacco agli ambienti aziendali. Tuttavia, il 47% delle aziende ammette di non aver ancora messo in atto azioni specifiche per tutelarsi contro questo rischio.

Le minacce informatiche sono sempre più parte integrante dell'infrastruttura digitale e non è, purtroppo, possibile garantire una protezione completa dalle violazioni della sicurezza in modo economicamente sostenibile. Le aziende, però stanno iniziando ad adottare (il 68% lo ha già fatto) una logica di anticipazione delle minacce – attuata analizzando e correlando i dati su traffico e reti, con lo scopo di anticipare le criticità – anche sfruttando i servizi offerti dai provider di sicurezza gestita.

Infine, quasi tutte le grandi aziende hanno messo in atto azioni volte a sensibilizzare i dipendenti sui rischi alla data integrity aziendale legati al loro comportamento "inopportuno", tuttavia solo il 15% ha attivato assicurazioni specifiche sul rischio cyber.

 

10 Febbraio 2017