Un terzo delle aziende ha subito perdita o furto di dati negli ultimi 12 mesi. Le principali fonti di attacco sono esterne come le associazioni criminali, seguite da quelle interne degli stessi lavoratori. Malware, phishing, spam, attacchi ransomware e frodi le minacce più diffuse. Il primo Osservatorio Information Security & Privacy del Politecnico di Milano fotografa la situazione italiana, segnalando diversi punti che meritano attenzione.
Gli analisti evidenziano come stia crescendo la consapevolezza dei vertici aziendali sui temi della protezione dei dati, legata a una sensibilizzazione rispetto ad accadimenti criminosi che hanno messo in luce le conseguenze disastrose di un approccio superficiale alla gestione della sicurezza IT. A differenza di quanto non sia stata fino a oggi la percezione della sicurezza, le aziende italiane hanno capito che le minacce colpiscono anche il nostro Paese. Due casi emblematici? I sistemi informatici di Expo, di cui è stata oscurata per ben due volte la pagina del ticketing online, e del Ministero della Difesa – nell’ambito di una campagna antimilitarista conclusa con la pubblicazione di un corposo gruppo di informazioni riservate.
Le minacce viaggiano sempre più veloci delle strategie
“Nonostante il crescente interesse per l’information security, testimoniato dall’aumento pari al 7% del budget nelle grandi imprese, non è semplice maturare modelli in grado di rispondere all’innovazione digitale sempre più dirompente – dice Alessandro Piva, Direttore dell’Osservatorio Information Security & Privacy – significa sviluppare consapevolezza strategici e definire meccanismi organizzativi e approcci tecnologici: ad oggi solo il 19% delle grandi aziende si può definire matura su entrambe queste linee di azione. Vi è poi la necessità di definire ruoli di responsabilità manageriale per pianificare e mettere atto la strategia di information security. Di fronte a queste sfide, per tenere il passo con l’evoluzione delle tecnologie digitali, la velocità con cui mettere in atto strategie e progetti diventa sempre più fondamentale”.
Secondo i ricercatori del Politecnico, nell’86% delle imprese la consapevolezza dell’importanza di una gestione dell’information security & privacy è cresciuta negli ultimi 3 anni. Analizzando la pianificazione del budget, le previsioni raccontano come nel 74% dei casi ci sia un’allocazione formale con orizzonte annuale o pluriennale e solo nel 26% un’allocazione non definita in cui le risorse sono stanziate all’occorrenza. In ogni caso, nel 58% delle organizzazioni le scelte di allocazione del budget sono fortemente influenzate dalle normative vigenti negli specifici settori.
Le principali fonti di attacco riscontrate provengono da fonti esterne come le associazioni criminali (nel 58% dei casi) o gli hacktivisti (46%), ma va riposta attenzione anche a quelle interne, come gli stessi lavoratori (49%) e i consulenti aziendali (30%). Le minacce più diffuse negli ultimi due anni sono malware (80%), phishing (70%), spam (58%), attacchi ransomware (37%) e frodi (37%). Le principali vulnerabilità sono la consapevolezza dei collaboratori su policy e buone pratiche di comportamento (79%), la distrazione (56%), l’accesso in mobilita` alle informazioni aziendali (45%), la presenza di dispositivi mobili personali (33%): per queste ragioni circa un terzo delle grandi aziende ha subito una perdita o un furto di dati negli ultimi 12 mesi, trafugando per lo piu` informazioni operative interne, price sensitive, informazioni sui clienti o sui pagamenti. In questo quadro emerge la necessità di ruoli di responsabilità manageriale per le strategie di information security: le organizzazioni si stanno attrezzando, ma oggi solo il 42% delle grandi aziende può dire di aver formalizzato al proprio interno una figura di Chief Information Security Officer (CISO).
Tenere il passo con la rivoluzione digitale
Per far fronte a modelli di innovazione sempre più rapidi, l’approccio delle aziende verso l’information security deve maturare lungo due direzioni principali: da una parte sviluppare consapevolezza strategica e vision, dall’altra mettere in campo piani concreti a livello organizzativo e tecnologico. Le aziende che si possono definire mature su entrambi i fronti sono il 19% del campione, mentre il 48% risulta a uno stadio iniziale del percorso. La velocità d’implementazione di progetti pensati per migliorare la sicurezza nella gestione delle informazioni fatica a tenere il passo dell’evoluzione delle tecnologie digitali e delle minacce che da queste derivano. Lo si nota chiaramente osservando le aree di investimento delle aziende in tema di protezione: aspetti fondamentali come il cloud e la mobility rimangono ancora di nicchia, benché indicati come rilevanti in prospettiva futura. A fronte di una consapevolezza crescente verso l’information security, spesso ci si scontra con barriere che rendono complesso tradurre nella pratica la strategia aziendale. Le barriere, rilevano gli analisti, sono molto eterogenee, tuttavia è possibile indicare alcune linee di intervento standard.
“Dalla ricerca emerge la consapevolezza della rilevanza di security e privacy tra le imprese italiane, ma anche la tendenza ad affrontare la tematica in modo ancora poco sistemico, mettendo a disposizione i budget necessari soprattutto sotto la spinta degli obblighi normativi – afferma Gabriele Faggioli, Responsabile scientifico dell’Osservatorio Information Security & Privacy –. Tra le aziende, risulta evidente il timore di attacchi che provengono anche dall’interno dell’azienda e dei rischi che discendono dalla scarsa cultura informatica del personale. Si nota sempre più anche il peso delle tecnologie mobili che, sempre più diffuse, sono diventate un fattore rilevante di rischio. La trasformazione digitale delle imprese richiede oggi nuove tecnologie, modelli organizzativi, competenze e regole per garantire, insieme all’innovazione, la necessaria protezione degli asset informativi aziendali”.
Una mappa delle policy italiane
Le policy di gestione dell’information security & privacy più diffuse sono quelle relative al backup dei dati (86%) e degli accessi logici (83%), alla regolamentazione scritta delle policy di sicurezza informatica aziendali (80%), alla regolamentazione sull’utilizzo degli asset informativi aziendali (79%). Sono meno comuni invece quelle sulla gestione dei device mobili ed in materia di bring your own device (48%), di gestione del ciclo di vita del dato (47%), di criptazione dei dati (36%) e di gestione degli ambiti social e web (31%). Nel 39% delle imprese non esiste un piano strutturato di formazione e comunicazione delle policy, negli altri casi la comunicazione delle policy viene inserita nel piano di formazione annuale obbligatorio (17%) o si prevede la formazione con specifici corsi interni (39%) o con l’ausilio di esperti esterni (5%).
L’elemento di maggior freno alla creazione di una strategia di information security evidenziato dalle aziende è di gran lunga la difficoltà di identificare costi e benefici derivanti dall’utilizzo di determinati approcci e tecnologie (60%), seguito dallo scarso committment del top management (38%) e dalla difficoltà a definire i confini d’azione (32%).
“Le barriere che impediscono oggi di creare una strategia di information security nelle imprese italiane sono molto eterogenee, a testimonianza di situazioni molto differenti, ma si possono identificare alcune linee comuni di intervento – spiega Mariano Corso, Responsabile scientifico dell’Osservatorio Information Security & Privacy -. Da una parte è necessaria un’evoluzione dell’organizzazione per favorire la creazione di nuovi ruoli, meccanismi di coordinamento e competenze. Dall’altra si chiede un ripensamento delle metodologie di indagine dei confini della sicurezza, affiancando a logiche tradizionali nuove modalita` di analisi per processi, per rispondere meglio ai trend emergenti del digitale che cambiano il normale perimetro di difesa. Infine, occorre sviluppare sensibilita` alla gestione del rischio, pianificando interventi e investimenti sulla base di scenari di priorità”.
Le distrazioni costano caro
In Italia ogni anno lo 0,4% del PIL viene speso per far fronte alle minacce digitali (cybercrime, hacktivism, spionaggio industriale, sabotaggio, cyber warfare): 825 milioni di euro. Ponemon Institute valuta che per ogni record (pacchetto di informazioni) perso o rubato, in Italia un’azienda ci rimette 141 dollari. Sempre Ponemon stima anche che a una piccola impresa un attacco informatico costa mediamente 400mila euro; a una di medie dimensioni 1,3 milioni; mentre per una grande azienda il costo può arrivare anche a 5,9 milioni di euro.
Gli analisti del Politecnico definiscono alcune linee guida alla sicurezza: da una parte intraprendere un percorso di evoluzione del modello organizzativo che favorisca la creazione di nuovi ruoli, meccanismi di coordinamento e competenze, dall’altra ripensare le metodologie di analisi dei confini della sicurezza, affiancando a logiche tradizionali nuove modalità di analisi per processi, utili per rispondere meglio ai trend emergenti. Una tendenza confermata anche nella pianificazione del budget dedicato all’information security & privacy dove, nella maggioranza dei casi, c’è un’allocazione formale: nel 42% dei casi con orizzonte annuale e nel 32% pluriennale.
Nel restante 26% dei casi non vi è un’allocazione definita e le risorse vengono stanziate sulla base delle necessità contingenti. Se si guarda all’evoluzione della spesa dedicata, nel 41% dei casi questa risulta cresciuta nell’ultimo anno, nel 54% è rimasta stabile e nel 5% dei casi è diminuita. L’incremento medio della spesa registrata negli ultimi 12 mesi all’interno del campione è stato pari al 7%.
La ricerca ha appurato quali sono le principali minacce alla sicurezza aziendale: accanto a fonti esterne al perimetro come le associazioni criminali (ritenute la principale minaccia nel 58% dei casi) e gli hacktivist (46%), spiccano i dipendenti (49%) e i consulenti (30%). Un’azienda su tre ha subìto, a causa di vulnerabilità interne come distrazioni dei dipendenti, accesso non sicuro alle informazioni e utilizzo di dispositivi mobili personali, una perdita o un furto di dati negli ultimi 12 mesi.
