Che la sicurezza informatica sia un tema non più rimandabile per le aziende italiane lo dimostrano le cronache dell’ultimo anno. Basti pensare alla violazione di 500 milioni di account Yahoo e l’attacco a DdoS, uno dei principali DNS provider.
Nel 2016 in Italia il mercato dell’information security ha raggiunto quota 972 milioni di euro, facendo registrare una crescita del 5% rispetto all’anno precedente. Ma nonostante questi dati positivi, la ricerca condotta dall’Osservatorio Information Security & Privacy del Politecnico di Milano mostra che nel nostro paese non è ancora diffuso un approccio di lungo periodo alla gestione della sicurezza e della privacy.
Di fronte a uno scenario che richiede nuovi strumenti e modelli per combattere il cyber crime, ciò che occorre alle aziende, spiega Gabriele Faggioli, responsabile scientifico dell’Osservatorio Information Security & Privacy “è mettere in campo adeguati modelli di governance e progettualità”. Ingredienti che hanno bisogno di un mix trasversale di competenze, a cui vanno affiancati programmi di sensibilizzazione per gli utenti per promuovere comportamenti responsabili.
Lo stato dell’information security nelle aziende italiane
La ricerca rileva che oltre la metà delle grandi aziende non ha ancora una figura manageriale codificata per la gestione della sicurezza informatica. Un gap rispetto ad altri paesi, aggravato da un ritardo nella comprensione delle implicazioni dei trend dell’innovazione digitale, quali Cloud, IoT, Big Data, Mobile, sulla gestione della sicurezza.
I progetti di information security delle aziende italiane sono orientati principalmente all’identificazione dei rischi e alla protezione dagli attacchi, mentre sono ancora immaturi il supporto alla rilevazione degli eventi, la risposta e il ripristino.
Poche le imprese che hanno definito una struttura di governo chiara della security, là dove invece in buon piano strategico passa dal disegno di una chiara struttura di governo.
Solo nel 46% dei casi è presente in modo formalizzato la figura del Chief Information Security Officer, nel 12% è presente ma non formalizzata, nel 9% è prevista l’introduzione nei prossimi 12 mesi. Mentre nei restanti casi non esiste una figura e il presidio dell’information security è demandato direttamente al Chief Information Officer (28%) o a figure esterne all’ ICT (5%).
Un’analisi sulla diffusione delle soluzioni di information security tra circa 800 piccole e medie imprese italiane rivela che il 93% delle PMI ha dedicato un budget nel 2016: questo però, rileva la ricerca, non corrisponde necessariamente a un utilizzo maturo e consapevole.
L’ information security difronte alla diffusione di mobile e cloud
Quasi tutte le aziende italiane mettono a disposizione dei propri dipendenti device mobili. Una pratica che espone a rischi non solo per possibili furti o smarrimenti, ma anche per i possibili attacchi cyber mirati.
Il 74% delle imprese italiane ha iniziative specifiche per mitigare il rischio connesso alla mobile security, come l’introduzione di piattaforme e strumenti tecnologici specifici per limitare l’utilizzo di device mobili (61%), o la definizione standardizzata e convenzionale di regole a cui gli utilizzatori devono attenersi quando accedono ai sistemi e ai dati business.
Rischi derivano anche dall’utilizzo di ambienti cloud. Qui la minaccia principale deriva dal rapporto col fornitore: un’attenzione crescente va dunque dedicata alla stesura del contratto e alla gestione del rapporto con i provider.
IoT e sicurezza informatica
Lo sviluppo dell’Internet of Things sta aumentando il numero di dispositivi connessi alla rete e con loro i possibili punti di accesso per un attacco al sistema informativo aziendale. Nonostante questo, solo 13% ha policy di security by design nella progettazione di prodotti, mentre il 47% delle organizzazioni non ha ancora messo in atto nessuna azione per tutelarsi in questo ambito, e il 41% sta valutando possibili azioni.
Il fattore X nell’information security
Nella sicurezza fondamentale è il fattore X, ovvero l’elemento di incertezza legato al comportamento umano, come la distrazione o la mancanza di consapevolezza. Il 95% delle organizzazioni italiane ha già avviato azioni specifiche per sensibilizzare gli utenti aziendali. Le iniziative più diffuse riguardano comunicazioni periodiche inviate ai dipendenti tramite mail (77%) e corsi di formazione attraverso sessioni d’aula o e-learning (66%). Nel 28% dei casi la formazione viene inoltre supportata dalla distribuzione spot di materiale informativo. Ma solo nel 28% dei casi troviamo progetti strutturati di sensibilizzazione con un orizzonte pluriennale.