Cresce l’attenzione delle aziende italiane verso l’information security e verso la privacy, testimoniata da un aumento del 7% della spesa media dedicata a tali settori negli ultimi mesi, con punte nei settori Media-Telco e Finance, seguiti da PA-Sanità, Utility e Servizi. Ma ad oggi solo il 19% delle grandi imprese dispone sia di consapevolezza e visione di lungo periodo sulla sicurezza, che di azioni e piani concreti con approcci tecnologici e ruoli organizzativi definiti, mentre il 48% è ad uno stadio iniziale di questo percorso. Lo dicono i nuovi dati della ricerca dell’Osservatorio Information Security & Privacy della School of Management del Politecnico di Milano. La ricerca dell’Osservatorio, al suo primo anno di attività, ha coinvolto oltre 150 Chief Information Security Officer, Chief Security Officecer e Chief Information Officer di grandi aziende italiane per indagare il contesto di riferimento, il budget dedicato, le principali aree di investimento ed interesse, le minacce e le principali fonti di attacco ed i ruoli e meccanismi di governance.
E così, mentre le minacce aumentano al ritmo del +30% nei primi 6 mesi del 2015 (dati Clusit), le strategie di information security faticano a tenere il passo dell’evoluzione delle tecnologie digitali e dei pericoli che ne possono derivare. Lo dimostrano le tipologie investimento delle aziende, che oggi si concentrano in particolare su ambiti come network security o business continuity/disaster recovery e ancora poco su trend emergenti del digitale come il mobile (priorità di investimento attuale nel 30% dei casi) e il cloud (7%), seppure riconosciuti di grande interesse in prospettiva.
Nell’86% delle imprese la consapevolezza dell’importanza di una gestione dell’information security & privacy è cresciuta negli ultimi 3 anni. E la conferma viene dalla pianificazione del budget, che prevede nel 74% dei casi un’allocazione formale con orizzonte annuale o pluriennale, solo nel 26% un’allocazione non definita in cui le risorse sono stanziate all’occorrenza. In ogni caso, nel 58% delle organizzazioni le scelte di allocazione del budget sono fortemente influenzate dalle normative vigenti negli specifici settori.
Le principali fonti di attacco riscontrate provengono da fonti esterne come le associazioni criminali (nel 58% dei casi) o gli hacktivist (46%), ma va riposta attenzione anche a quelle interne, come gli stessi lavoratori (49%) ed i consulenti aziendali (30%). Le minacce più diffuse negli ultimi due anni sono malware (80%), phishing (70%), spam (58%), attacchi ransomware (37%) e frodi (37%). Le principali vulnerabilità sono la consapevolezza dei collaboratori su policy e buone pratiche di comportamento (79%), la distrazione (56%), l’accesso in mobilita` alle informazioni aziendali (45%), la presenza di dispositivi mobili personali (33%): per queste ragioni circa un terzo delle grandi aziende ha subito una perdita o un furto di dati negli ultimi 12 mesi, trafugando per lo piu` informazioni operative interne, price sensitive, informazioni sui clienti o sui pagamenti. In questo quadro emerge la necessità di ruoli di responsabilità manageriale per le strategie di information security: le organizzazioni si stanno attrezzando, ma oggi solo il 42% delle grandi aziende può dire di aver formalizzato al proprio interno una figura di Chief Information Security Officer (CISO).
“Dalla ricerca emerge la consapevolezza della rilevanza di security e privacy tra le imprese italiane, ma anche la tendenza ad affrontare la tematica in modo ancora poco sistemico, mettendo a disposizione i budget necessari soprattutto sotto la spinta degli obblighi normativi – afferma Gabriele Faggioli, Responsabile scientifico dell’Osservatorio Information Security & Privacy –. Tra le aziende, risulta evidente il timore di attacchi che provengono anche dall’interno dell’azienda e dei rischi che discendono dalla scarsa cultura informatica del personale. Si nota sempre più anche il ‘peso’ delle tecnologie mobili che, sempre più diffuse, sono diventate un fattore rilevante di rischio. La trasformazione digitale delle imprese richiede oggi nuove tecnologie, modelli organizzativi, competenze e regole per garantire, insieme all’innovazione, la necessaria protezione degli asset informativi aziendali”.
Chief Information Security Officer e Data Protection Officer
I modelli di governance dell’information security sono variegati e prevedono la presenza, spesso anche la coesistenza, di diversi meccanismi di coordinamento. Sono nel 42% delle grandi imprese è presente in modo formalizzato la figura del Chief Information Security Officer (CISO), il professionista incaricato di definire la visione strategica, implementare programmi a protezione degli asset informativi e mitigare i rischi, mentre nel 10% e` prevista l’introduzione nei prossimi 12 mesi. Nel 36% dei casi il presidio dell’information security è demandato ad altri ruoli in azienda, come un responsabile della sicurezza (CSO). Nel restante 12% non esiste una figura dedicata e non ne e` prevista l’introduzione nel prossimo anno.
L’aumento dei dati e l’eterogeneita` delle fonti informative rendono necessarie anche figure professionali per la gestione dei problemi della privacy. Il nuovo regolamento europeo sulla protezione dei dati che sta vedendo la luce prevede la possibile introduzione del Data Protection Officer (DPO). Gia` presente in alcune legislazioni europee, e` il professionista con competenze giuridiche, informatiche, di gestione del rischio e di analisi dei processi aziendali che mette in atto la politica di gestione del trattamento dei dati personali per adempiere alle normative di riferimento. La figura è già formalizzata solo nel 21% delle grandi imprese, mentre in un 33%, pur non esistendo il ruolo, la responsabilità è demandata ad altre funzioni, nel 16% sarà introdotta nei prossimi 12 mesi, nel restante 30% per il momento non sarà inserita.
Le policy
Le policy di gestione dell’information security & privacy più diffuse sono quelle relative al backup dei dati (86%) e degli accessi logici (83%), alla regolamentazione scritta delle policy di sicurezza informatica aziendali (80%), alla regolamentazione sull’utilizzo degli asset informativi aziendali (79%). Sono meno comuni invece quelle sulla gestione dei device mobili ed in materia di “bring your own device” (48%), di gestione del ciclo di vita del dato (47%), di criptazione dei dati (36%) e di gestione degli ambiti social e web (31%).
Nel 39% delle imprese non esiste un piano strutturato di formazione e comunicazione delle policy, negli altri casi la comunicazione delle policy viene inserita nel piano di formazione annuale obbligatorio (17%) o si prevede la formazione con specifici corsi interni (39%) o con l’ausilio di esperti esterni (5%).
I freni alla strategia di information security
L’elemento di maggior freno alla creazione di una strategia di information security evidenziato dalle aziende è di gran lunga la difficolta` di identificare costi e benedici derivanti dall’utilizzo di determinati approcci e tecnologie (60%), seguito dallo scarso committment del top management (38%) e dalla difficolta` a definire i confini d’azione (32%).
“Le barriere che impediscono oggi di creare una strategia di information security nelle imprese italiane sono molto eterogenee, a testimonianza di situazioni molto differenti, ma si possono identificare alcune linee comuni di intervento – spiega Mariano Corso, Responsabile scientifico dell’Osservatorio Information Security & Privacy -. Da una parte è necessaria un’evoluzione dell’organizzazione per favorire la creazione di nuovi ruoli, meccanismi di coordinamento e competenze. Dall’altra si chiede un ripensamento delle metodologie di indagine dei confini della sicurezza, affiancando a logiche tradizionali nuove modalita` di analisi per processi, per rispondere meglio ai trend emergenti del digitale che cambiano il normale perimetro di difesa. Infine, occorre sviluppare sensibilita` alla gestione del rischio, pianificando interventi ed investimenti sulla base di scenari di priorità”.
Facebook Comments