La minaccia alla cybersecurity è pervasiva. Le organizzazioni italiane sono al sicuro? I risultati dell’Osservatorio 2016 Information Security & Privacy.

Torniamo a parlare di cybersecurity. Ce ne siamo occupati l’ultima volta in occasione del Convegno annuale di informatica giuridica di Pavia e della presentazione del Bis Lab dell’Università Milano Bicocca, nel tentativo di segnalare alcuni trend nel campo della sicurezza informatica. Questa volta siamo andati all’ultimo incontro dell’Innovation Pub e agli Osservatori del PoliMi.

Innovation Pub: innovazione da bere

Innovation Pub è un progetto che nasce per mettere in connessione i cittadini con imprese, università ed enti di ricerca attraverso un format leggero e stimolante: un aperitivo mensile, che diventa l’occasione per approfondire temi d’attualità insieme all’intervento di personalità di alto profilo. Diffusione della conoscenza, trasmissione delle esperienze professionali, valorizzazione della ricerca scientifica, creazione di network e sinergie: questi sono solo alcuni degli obiettivi di questi incontri.

L’appuntamento dello scorso gennaio, ospitato dal Caffè Ristorante Dopolavoro Bicocca, è stato dedicato alla presentazione del Bicocca Security Lab e quindi al tema della cybersecurity (Informazione, unicità di un business possibile. Cybersecurity e contenuti una sfida per il mondo della ricerca). Il tema è al centro dell’attenzione pubblica anche per via di recenti avvenimenti internazionali: dalle presunte azioni di cyberspionaggio, che avrebbero coinvolto le elezioni presidenziali americane, passando per la crescita dei ransomware, alle note vicende italiane, tra cui il caso dei fratelli Occhionero.
«Cose che per noi sono note da anni, oggi hanno una forte risonanza mediatica», afferma Andrea Rossetti, professore di Filosofia del diritto e Informatica giuridica dell’Università Bicocca, sottolineando come, in realtà, si tratti di tematiche di cui gli esperti discutono ormai da tempo. «Con il Bicocca Security Lab si vorrebbe aumentare la cultura della cybersecurity», sostiene Enea Nepentini di Consilium Comunicazione.

Cybersecurity nel 2016: cresce il mercato, crescono le minacce

Nel 2013 Yahoo! subì un attacco che coinvolse oltre un miliardo di utenti. Nel 2014, un’altra violazione mise in pericolo oltre 500 milioni di account. Ma la cosa più incredibile è che Yahoo! si accorse di quanto accaduto solamente due anni dopo, come riportato dalla Ricerca 2016 Cyber Crime: la minaccia invisibile che cambia il mondo, condotta dall’Osservatorio Information Security & Privacy della School of Management del Politecnico di Milano.

Oggi il contesto è profondamente mutato rispetto a pochi anni fa. La stessa ricerca ci presenta infatti un mercato della sicurezza informatica in crescita del 5% e con un valore complessivo di 972 milioni di euro. Ma non è abbastanza. «La trasformazione digitale delle imprese richiede nuove tecnologie, modelli organizzativi, competenze e regole», sottolinea Mariano Corso, Responsabile Scientifico dell’Osservatorio. Occorre sviluppare una strategia di gestione della sicurezza e della privacy, attraverso cambiamenti tecnologici e processuali. A richiederlo è soprattutto il GDPR – General Data Protection Regulation -, la direttiva europea di recente approvazione che entrerà ufficialmente in vigore il 25 maggio 2018, di cui sarà fondamentale comprendere le implicazioni legali e progettuali.
Su questo tema è intervenuto, tra gli altri, Sergio Mattioli – Information Security and Data privacy Director del Gruppo Bosch Italia –, che ha prima sottolineato l’importanza della formazione dei responsabili, per poi mettere in evidenza come raccolta dati, stima dell’impegno e comprensione delle attività da pianificare siano solo alcune delle criticità da affrontare nei prossimi mesi. Per il 2017, i maggiori sforzi dovranno orientarsi infatti verso lo sviluppo di modelli di governance più maturi e l’aumento di azioni di sensibilizzazione. Attività da intraprendere per farsi trovare pronti al cambiamento che comporterà l’immediata entrata in vigore della regolamentazione europea sulla privacy.
Ma tutto ciò potrebbe non risultare davvero efficace se, come affermato da Andrea Mercurio – Security Operations and Products – Cybersecurity Practice di Almaviva  –, le imprese non acquisiranno, a partire dalla normativa, una profonda cultura sul tema della cybersecurity. L’unico punto di partenza per giungere a un sistema di gestione della privacy impostato in maniera corretta.

Tutto tace? Non proprio

Le grandi imprese investono in sicurezza su tecnologia (28%), servizi di integrazione IT e consulenza (29%), software e outsourcing (15%). Dalla Ricerca emerge che rispetto allo scorso anno si registra un aumento del 7% nel numero di organizzazioni che hanno predisposto un piano pluriennale.

«Cresce la consapevolezza sulla sicurezza informatica, ma le minacce su Cloud, Big Data, Internet of Things, Mobile e Social richiedono nuovi modelli di organizzazione: solo il 39% delle grandi imprese ha un piano di investimento pluriennale, solo il 46% ha in organico un Chief Information Security Officer. Quasi tutte le grandi imprese hanno azioni di sensibilizzazione sul comportamento dei dipendenti. Ma appena il 15% ha attivato assicurazioni sul rischio Cyber», secondo l’Osservatorio.

Allo stesso tempo, crescono le responsabilità e il ruolo del CISO, il capo della sicurezza all’interno dell’azienda, a cui vengono sempre più richieste – oltre a competenze tecnologiche del caso – capacità organizzative e relazionali per gestione del capitale umano e di project management. Al momento, solamente il 9% delle imprese italiane prevede di introdurre e formalizzare la figura del CISO nei prossimi 12 mesi, mentre il resto demanda gli oneri e gli onori del CISO al CIO (28%) o ad altre figure esterne (5%). È quindi evidente come la previsione di una figura di questo tipo all’interno della propria struttura organizzativa non sia ancora uno standard per tutte le imprese italiane.

La Ricerca 2016 degli Osservatori prende come riferimento l’insieme di standard aziendali e best practice, il cosiddetto Framework for improving Critical infrastructure Cybersecurity, stilato dal NIST – agenzia del governo americano che si occupa di promuovere l’innovazione, la competitività industriale, la sicurezza economica sviluppando standard, tecnologie e metodologie avanzate – al fine di individuare quali siano le azioni da intraprendere per migliorare la gestione della sicurezza informatica in azienda.
«Identificare, proteggere, rilevare, rispondere, ripristinare»: sono queste le capacità da sviluppare per soddisfare le nuove esigenze sul fronte della cybersecurity. Purtroppo però dalla ricerca emerge che le progettualità e le policy messe in atto riguardano per adesso solamente l’identificazione e la protezione: backup (89%), gestione degli accessi logici (84%), regolamentazione delle procedure di sicurezza informatica (80%), gestione e utilizzo dei device aziendali (72%), utilizzo di social media (57%). Rilevazione, risposta e ripristino saranno quindi al centro del programma 2017.  Un dato che conferma il netto ritardo delle imprese, anche alla luce delle parole di Alessandro Piva, Direttore della Ricerca degli Osservatori, che pone l’attenzione sul fatto che solo il 13% delle organizzazioni abbia messo in campo delle azioni di tutela, mentre il 47% è ancora immobile e l’altro 40% sta valutando quali azioni intraprendere.

Sicurezza ovunque: Cloud, Big Data, IoT, Mobile, Social

La seconda edizione dell’Osservatorio Information Security & Privacy accende i riflettori su tematiche particolarmente rilevanti per quel che riguarda l’innovazione digitale: Cloud security, IoT security, mobile security, cyber intelligence e cyber insurance.

Il 97% delle aziende mette a disposizione dei propri dipendenti device mobili, il che oltre a rappresentare un vantaggio dal punto di vista della produttività nasconde la minaccia che è in agguato: attacchi cyber mirati. Fortunatamente da questo punto di vista le imprese appaiono preparate: il 74% ha già attuato un piano di sicurezza per fronteggiare questa problematica. Completamente diverso invece il fronte cloud security e IoT security: quasi un’azienda su tre non si preoccupa ancora di affrontare il tema della sicurezza negli ambienti cloud. Similmente, in ambito IoT, il 47% delle organizzazioni rivela di non aver messo tuttora in atto alcuna azione difensiva.

La preoccupazione delle aziende italiane nei confronti della tematica cyber occuperebbe il terzo posto secondo il Clusit, Rapporto 2016 sulla sicurezza ICT in Italia. Ancora troppo poco per sentirsi davvero al sicuro.