Lo sviluppo di nuove tecnologie e dell’IoT sta producendo un numero crescente di oggetti fisici connessi ad Internet e, di conseguenza, un rischio maggiore di permeabilità dei perimetri aziendali da parte di malicious attackers in grado di identificare le vulnerabilità generate dalla stratificazione di diverse tipologie di tecnologie, non sempre adeguatamente presidiate dalle organizzazioni. I rischi cyber non sono un problema relativo alla sola funzione ICT dell’azienda, ma riguardano tutti gli aspetti della sostenibilità del business e la competitività delle aziende nel lungo periodo, in particolare se con strategie di sviluppo su mercati globali.
Nonostante ciò, il rischio cyber sembra essere il rischio più sottovalutato da parte delle imprese, anche dalle stesse funzioni che hanno come proprio mandato il compito di supportare il management nel valutare e gestire adeguatamente i rischi nelle scelte strategiche e operative aziendali.
A questo proposito, Deloitte e The Innovation Group hanno pubblicato l’indagine Cyber Risk Management Survey 2015, realizzata su un campione di 52 aziende italiane appartenenti ai diversi settori di mercato, per approfondire gli aspetti principali legati alla gestione del rischio Cyber.
“L’aumento della digitalizzazione dei processi di business e della networked economy, associato alla “commercializzazione” di capability cyber-offensive sempre più sofisticate, comporta una sempre maggiore esposizione delle aziende italiane ad attacchi informatici rispetto ai quali, a quanto dichiarano anche dalle aziende intervistate, non si ritengono completamente preparate. Il Governo e le aziende italiane stanno avviando piani di sviluppo atti a dotarsi di migliori competenze tecniche e manageriali per rispondere adeguatamente a questa minaccia – dichiara Stefano Buschi, Partner e responsabile per i Cyber Risk Services di Deloitte in Italia – Nonostante questo, il rischio Cyber sembra non essere pienamente “visibile” al management aziendale, che spesso lo identifica come un rischio la cui gestione è interamente delegabile alla funzione ICT, mentre andrebbe valutato e gestito considerando i molteplici aspetti legati agli impatti sulla sostenibilità del proprio business e sulla competitività della propria azienda nel medio-lungo periodo”.
I risultati derivanti dall’indagine hanno evidenziato una forte preminenza della funzione ICT nella gestione delle tematiche legate al Cyber Risk, percepito ancora come rischio IT, ma con una positiva tendenza da parte del Top Management ad interrogarsi sull’identificazione di più modalità di valutazione del rischio Cyber che siano sempre più complete, quantitative e soprattutto che riescano a descrivere meglio i possibili impatti sul business.
“Dai risultati dell’indagine emergono alcuni gap importanti che le aziende italiane devono puntare a colmare in tempi rapidi – afferma Ezio Viola, Amministratore Delegato di The Innovation Group – oggi non è più sufficiente dotarsi di misure preventive, bisogna essere in grado di rilevare attacchi che avvengono per lo più in modo silente e persistente, e soprattutto sapere come reagire prontamente quando si ha evidenza di essere stati presi di mira o di aver subito un data breach”.
È chiaro come le priorità per le aziende dovranno orientarsi sempre più verso l’adozione di robuste strutture di governance anche per quanto concerne la Cybersecurity, magari introducendo nei Board dei Director con competenze in tale ambito e attraverso l’effettiva adozione di framework strutturati per la gestione dei Cyber Risk, che ad oggi risultano ancora poco utilizzati in modo estensivo e completo (solo dal 35% dei rispondenti).
Anche se ad oggi questi aspetti non sempre risultano adeguatamente presidiati, l’indagine rileva, però, delle chiare dichiarazioni di intenti:
- Il 12% delle organizzazioni dichiara di aver istituito un comitato specifico per discutere i rischi cyber; il 39% delle aziende li gestisce nell’ambito di altri comitati (Comitati Risk & Compliance/CdA) e i momenti di “confronto” con il Board sono limitati.
- La struttura organizzativa per la gestione del cyber risk vede per il 40% delle aziende intervistate la presenza di un CISO e in questi casi il 67% dei CISO riportano al CIO, all’interno dell’unita di ICT operations o in staff allo stesso CIO.
- Nella maggioranza dei casi i rischi cyber non sono inclusi tra i rischi strategici, ma valutati all’interno delle categorie dei rischi operativi o dei rischi ICT (che sommate contano circa il 50% dei casi). Spesso sono vengono identificati strutturalmente, ma lasciati in gestione (e visibilità) solo della funzione ICT che li rende resi noti agli executive solo in caso di incidenti rilevanti (che sommati contano circa il 33% dei casi).
- Solo in pochissimi casi sono stati identificati KRI (key risk indicator) per la misurazione del rischio cyber (18%), o metriche allineate con il business (19%) e documentate periodicamente, ma circa il 50% dei rispondenti dichiara di avere un programma di sicurezza come parte integrante dell’ERM aziendale, molto focalizzato sulla protezione del business, in cui l’Information security Management & Reporting è una top priority.
- Al momento una percentuale del 2% del nostro campione fa ricorso a coperture assicurative per il trasferimento del rischio cyber, ma è evidente un interesse in queste forme di trasferimento del rischio.
Emerge chiaramente l’intenzione di investire nell’applicazione di un framework di Cyber Risk Management, mutuati dalle leading practice internazionali, nell’Incident Response e nell’aumento di consapevolezza degli utenti finali, in linea con quanto indicato anche in Italia da parte del recente Framework Nazionale per la Cybersecurity.
Nel corso del 2015, all’interno dei piani strategici di cybersecurity delle aziende intervistate, sembrano emergere nuovi ambiti quali ad esempio Measurement e reporting, Advanced Threat Management, Threat intelligence e Security Analytics, che rispetto al 2014 mostrano un aumento della maturità complessiva e mostrano come le aziende italiane abbiano intenzione di intraprendere le giuste azioni di sviluppo.
I relativi investimenti stanno crescendo da valori pari a 1 e 2% del totale budget ICT verso valori del 3-5%, ma anche con pochi (circa 10%) dei rispondenti che dedica già il 6 e il 10%. Valutando, però, anche la necessità di crescita di competenze nell’area IoT, i valori sembrerebbero essere sottostimati.
Lo studio mostra una tendenza progressiva nello spostarsi da investimenti in prevenzione verso lo sviluppo di capacità di monitoraggio e di risposta agli eventi cyber, per sviluppare maggiormente la propria Cyber-Resilience. A oggi solo il 48% delle aziende intervistate afferma di avere un processo di Incident Detection ritenuto valido e, di queste, solo il 16% lo gestisce in modalità end-to-end, mediante strumenti di monitoraggio.
Sul processo di Incident Response si rileva invece un maggiore livello di maturità in quanto il 65% delle aziende lo ha opportunamente definito e documentato integrandolo nel Crisis Management, nel piano di Business Continuity o di Disaster Recovery. Più in dettaglio, i risultati dell’indagine sugli aspetti di monitoraggio, Incident Detection, Management & Response sono:
- Le principali attività svolte per il monitoraggio della security sono gli audit di sicurezza (79%) e i vulnerability assessment/penetration test (79%).
- Aspetti critici sono invece la review dei log applicativi (svolta dal42% degli intervistati, una percentuale inferiore rispetto a quanti svolgono review su log relativi alle infrastrutture, 61%), oltre che una review delle informazioni ottenibili in caso di incidente (37%).
- Solo il 13% delle aziende afferma di avere soluzioni complete di cybersecurity intelligence per monitorare lo stato della sicurezza informatica.
- Incident Detection, il processo per rilevare incidenti, comportamenti anomali e data breaches è adottato solo dal 48% delle aziende del campione. Di queste, solo un 16% lo gestisce in maniera ottimale mediante utilizzo di adeguati strumenti di monitoraggio.
- Incident Response: si rileva in questo caso un maggiore livello di maturità in quanto il 65% delle aziende lo ha opportunamente definito e documentato integrandolo nel Crisis Management, nel piano di Business Continuity o di Disaster Recovery dell’organizzazione. Tuttavia, anche per questo ambito rimangono gap da colmare, con un 21% delle aziende che non dispone di un piano di Incident Response.
- Un ulteriore aspetto fortemente sottovalutato nella gestione della risposta agli incidenti è rappresentato dal test periodico delle procedure di Incident e Crisis Management, che viene effettuato solo da un 15% delle aziende, nonostante sia fondamentale per assicurare che il processo sia sempre aggiornato, conosciuto e efficace in caso di necessità di attivazione, anche rispetto ai mutamenti di contesto aziendale (e.g. cambiamenti organizzativi, modifiche di processi, provider, partner, …).
Questi importanti cambiamenti necessitano di adeguato presidio e di modelli di Governance che includano anche le tematiche Cybersecurity e l’attuazione di strategie mirate alla gestione dei Cyber Risk. Risulta essere indispensabile lo sviluppo delle professionalità e delle competenze del personale operativo, ma anche un incremento di competenze da parte degli executive e dei componenti dei CdA aziendali e degli ulteriori organi di controllo preposti.
In questo senso, viene evidenziata dal 57% delle aziende rispondenti una percezione di carenza di competenze, anche per i dipendenti che si occupano più direttamente di sicurezza informatica.
Per colmare queste carenze le aziende italiane stanno investendo sulla formazione e sulla sensibilizzazione di tutti dipendenti (47% dei rispondenti), anche adottando modalità innovative di erogazione (storytelling, video, comics), e su sviluppi mirati per aree specialistiche.
Facebook Comments