L'abitudine a utilizzare Internet in tutte le sue forme ha inaugurato l'era delle App, favorendo anche una comprensione più immediata dei vantaggi associati al cloud mentre la consumerizzazione dell'IT ha portato i dipendenti a utilizzare con disinvoltura schermi touchscreen e menu di navigazione. Gran parte della popolazione oggi è connessa: smartphone, tablet e notebook, ma anche smart TV e altre installazioni interattive, come totem e chioschi, dotate di intelligenza applicativa. La tecnologia "smart" è entrata nelle nostre case e negli uffici, ma senza che a questo si associno corsi di formazione dedicati. Con i problemi che ne conseguono. Gli analisti puntano l'attenzione sull'ingenuità delle persone che, deviate dai vantaggi e dalla semplicità delle tecnologie, non si rendono conto dei rischi del loro uso improprio. Dai furti di dati alla paralisi dell'attività dell'azienda, lo scotto da pagare è ormai noto e dovrebbe far riflettere l'intero board aziendale.

Secondo Gartner ("Gartner Top 10 Prediction for IT in 2018 and Beyond") da qui al 2020 il 95% degli attacchi alla sicurezza sarà colpa dei comportamenti sbagliati degli utenti. Lo stesso studio stima, poi, che nel 2022 la metà del budget destinato alla sicurezza IT sarà speso per attività di recall e remediation a pari ingombro con quelle di protezione. Se la prevenzione vale tanto quanto le attività di contenimento dei danni, la strada è tutta in salita?

 

Quanto cosa veramente il cybercrime?

Per capire perché conviene investire di più nella prevenzione, basta guardare quanto costa il cybercrime alle aziende. Accenture e Ponemon Institute nel loro "Cost of Cyber Crime Study" (settembre 2017) stimano le spese in 11,7 milioni di dollari per azienda, con un aumento del 23% rispetto ai 9,5 milioni di dollari registrati nel 2016. In media, un'azienda subisce 130 violazioni all'anno (+27,4% rispetto al 2016) che si traducono in infiltrazioni nella rete o nei sistemi aziendali.

App mobile e smartphone

Riportata ai suoi fondamentali, la questione è semplice: la gestione della sicurezza associata alla trasformazione digitale non può essere più delegata solo a CIO e CISO. "Dobbiamo capire che l'azienda è cambiata – spiega Luca Bechelli, Membro del Comitato Tecnico Scientifico del CLUSIT –. Non ha più senso parlare di azienda mobile, che lo è già per definizione dal momento che i dipendenti hanno un cellulare e scaricano e-mail di lavoro sul proprio device personale. A quel punto siamo già mobili e dobbiamo pensare in mobilità. La trasformazione digitale è un'evoluzione delle esigenze dei colleghi che voglio essere mobili, agili, che interagiscono in molti modi con il resto del mondo, non solo dal PC blindato ma anche con altri media vulnerabili ad attacchi cyber".

Insomma, aggiornare gli antivirus non è più sufficiente. "Il board aziendale deve imparare a guardare l'azienda in modo molto diverso, andando ben oltre il tema del GDPR (General Data Protection Regulation – ndr). La normativa che troverà piena applicazione il prossimo 25 maggio ha il merito di aver finalmente solleticato l'attenzione dei C-level sul tema della protezione dei dati offrendo l'opportunità di rivedere posizioni e policy, ma non risolve certo la totalità della governance. CFO, CEO, COO... tutti gli executive devono imparare a vivere la trasformazione digitale con una visione della sicurezza non solo più responsabile ma anche più lungimirante", invita l'esperto.

 

Risk management e sicurezza gestita

Serve una consapevolezza più ampia e funzionale di cosa significa risk management nell'era della trasformazione digitale. È ora di lavorare a livello utente, offrendo un po' più di cultura ma anche soluzioni più puntuali in caso di perdite di dati e di fermi informatici. I servizi gestiti (MSS) certo possono aiutare a tenere il passo con un'evoluzione delle minacce e una crescente sofisticazione negli attacchi altrimenti impossibile da fronteggiare. Ma serve anche (e soprattutto) maggiore consapevolezza a tutti i livelli dell'organizzazione. Occorre inoltre un approccio che sia specifico per ciascun settore e che tuteli l'intera catena del valore dell'azienda. Le conseguenze del cybercrime che le aziende subiscono a causa dei crimini informatici sono sempre più costose e devastanti, sottolineando l'importanza crescente di una pianificazione strategica e di un monitoraggio costante degli investimenti in sicurezza.

 

Sicurezza nativa e shadow IT

"La questione vera – precisa Bechelli – è che non c'è trasformazione digitale senza una governance votata alla sicurezza delle infrastrutture e dei servizi. Eppure la sicurezza viene ancora considerata una componente addizionale perché le aziende seguono ancora un approccio banalmente costruttivo: prima creo l'infrastruttura e dopo penso alla sicurezza. Questa protezione non nativa, però, ha un impatto notevole sulla data protection in azienda". A questo si aggiunge il problema, sempre più rilevante, dello shadow IT. "Quante volte i nostri colleghi, in buona fede, si portano il lavoro a casa inviando una mail d'ufficio sul proprio account privato o caricandosi su un servizio di file sharing il lavoro, magari perché non gli abbiamo fornito un'alternativa aziendale valida per fare questo mestiere?".

Fonte: Osservatorio Information Security & Privacy Politecnico di Milano (2018)

 

I dati 2018 dell'Osservatorio Information Security & Privacy

Insomma, lo scenario è effettivamente caratterizzato da molti problemi e da un approccio disfunzionale. Ma qualcosa comincia finalmente a cambiare, come dimostrano anche i dati dell'Osservatorio Information Security & Privacy rilasciati qualche giorno fa dal Politecnico di Milano. Il mercato delle soluzioni di information security in Italia raggiunge un valore di 1,09 miliardi di euro, in crescita del 12% rispetto al 2016. La spesa si concentra prevalentemente nelle grandi imprese (il 78% del totale), trainata dai progetti di adeguamento al General Data Protection Regulation (GDPR), che contribuiscono per oltre la metà della crescita registrata. In oltre un'impresa italiana su due (il 51%), è in corso un progetto strutturato di adeguamento alla nuova regolamentazione UE in materia di trattamento dei dati personali (erano appena il 9% un anno fa). Contemporaneamente, cresce in modo deciso, passando dal 15% al 58% la percentuale di aziende che hanno già un budget dedicato all'adeguamento al GDPR. Se si esclude la quota destinata ai progetti di adeguamento al GDPR, la spesa è orientata principalmente alle componenti di sicurezza tradizionali, come Business Continuity & Disaster Recovery (19%), Network Security (14%) e Security Testing (9%). Seguono le quote dedicate a Incident Response (8%), Identity e Access Management (6%), Data Leakage e Data Loss Prevention (4%). Qualcosa, però, sta cambiando e lo scenario appare diverso se si osservano le intenzioni di spesa, dove gli incrementi più alti sono previsti per la protezione del mobile (in aumento per il 63% degli intervistati, anche se al momento questa spesa cuba solo il 4% degli stanziamenti in sicurezza) e quella del cloud (che pesa attualmente per il 3% della spesa in sicurezza ma con budget previsti in aumento per il 59% del campione). Si investe, poi, finalmente sempre più anche sulla prevenzione. Gli investimenti in Security Awareness&Training sono previsti in crescita nel 56% dei casi, mentre la Cyber Insurance, che oggi pesa solo per il 2,5% degli stanziamenti in security, è indicata come un'area su cui si investirà di più dal 52% delle aziende interpellate.

 

14 febbraio 2018