Il mercato della sicurezza informatica in Italia è in continua crescita per il terzo anno consecutivo: nel 2019 si attesta a 1,3 miliardi di euro, in crescita dell’11% rispetto all’anno scorso (dopo aver registrato un +9% nel 2018 e un +12% nel 2017).
Questo è sicuramente uno dei temi caldi affrontati mercoledì 5 Febbraio 2020 all’Osservatorio Information Security & Privacy del Politecnico di Milano. Sarebbe stato impossibile coprirli tutti in singolo articolo, ma abbiamo comunque voluto riportare e riassumere alcuni degli interventi più significativi e alcune nostre considerazioni.
La Cybersecurity in numeri
Secondo l’ultima rilevazione del Clusit, nel primo semestre del 2019 gli attacchi di tipo grave, ossia che hanno avuto un impatto significativo in termini economici e di reputazione sulle organizzazioni colpite, sono stati 757 (+1.3% rispetto all’anno precedente). Un aumento drastico nell’ultimo biennio se si pensa che rispetto al 2017 l’incremento è stato del +37,7%.
“Esiste ancora un discreto numero di aziende non conformi alle norme sulla sicurezza, con un diffuso ottimismo anche nei confronti del Cybersecurity Act. Allo stesso tempo, però, le minacce alla sicurezza diventano sempre più numerose e pericolose: per difendersi le imprese sono chiamate ad attivare logiche di security-by-design e strumenti di protezione in tempo reale“, afferma Gabriele Faggioli, AD di Partners4Innovation s.r.l. e Presidente del Clusit.
Altro fattore di estrema rilevanza è quello umano. Lo sottolinea anche Fabrizio Bicego, Data Protection Officer di Lavazza: “La mancanza di consapevolezza da parte del dipendente in ambito di sicurezza informatica può causare una fuoriuscita di dati aziendali – databreach, senza che l’utente abbia agito volontariamente.”
Struttura organizzativa della Sicurezza in Italia
Al fine di gestire e ridurre il rischio informatico è di fondamentale importanza non solo la tecnologia utilizzata, ma anche la struttura organizzativa.
La Ricerca dell’Osservatorio evidenzia una mancanza di consapevolezza organizzativa; pare infatti che nel 40% delle organizzazioni non esista una specifica funzione Information Security e venga incaricato del ruolo di responsabile della sicurezza lo stesso CIO.
Sono ancora poche le realtà che utilizzano una configurazione nella quale la funzione di Information Security sia indipendente dall’IT e riporti direttamente ad altre divisioni o al Board (16%). Questo comporta spesso un’inefficace gestione del rischio a causa della poca autonomia del CISO, che non è in grado di applicare e garantire logiche di intervento operativo uniformi ad ogni livello.
È un’impressione confermata anche da Carlo Mauceli, Chief Technology Officer di Microsoft:
“In tema di sicurezza tecnologica presso le aziende siamo ancora molto, molto indietro… Le imprese percepiscono la problematica e le minacce degli attacchi informatici, ma manca ancora la ‘messa a terra’, in molti casi manca il passaggio dalle intenzioni ai fatti“.
Secondo il CTO, che ha una profonda conoscenza del mercato IT italiano, sarebbero utili degli sgravi fiscali per le PMI.
Sul mercato vengono ricercate figure da inserire in organico, ma il 77% delle aziende che vogliono assumere hanno difficoltà a reperire profili specializzati, spiega Alessandro Piva, direttore dell’Osservatorio Information Security e Privacy.
Questa ricerca è ancora più difficile per aziende di medie-piccola dimensione, che possono però attingere a risorse in outsourcing e avvalersi di un servizio che gestisca per il rischio andando in contro alle loro esigenze economico-organizzative.
Sicurezza Informatica e PMI
“Le PMI mostrano un miglioramento nella gestione della Cybersecurity. Tuttavia meno della metà possono dichiarare un presidio strutturato.” – Giorgia Dragoni, Ricercatrice dell’Osservatorio.
L’Osservatorio conferma che nonostante la maggior parte delle PMI disponga delle soluzioni di sicurezza di base quali ad esempio antivirus, antispam, firewall… una su due non preveda investimenti nel miglioramento di queste tecnologie nel 2020.
Per quanto ci riguarda questo è un dato molto preoccupante, in quanto questi strumenti di base sono certamente necessari, ma non sufficienti, in quanto limitati ad uno scopo verticale e a difendere l’infrastruttura da attacchi conosciuti. Come confermano anche i trend del Clusit però, è sempre maggiore la quantità di attacchi complessi, APT, sconosciuti (0day) o creati con nuove metodologie. Per questa ragione l’unica soluzione è quella di creare un concetto di sicurezza a strati, utilizzare prodotti e servizi che siano in grado di correlare le informazioni provenienti dagli strumenti di sicurezza basilari e trarne informazioni atte a prevenire attacchi informatici complessi.
Gestione olistica della sicurezza informatica
Riguardo questa tematica, ciò che emerge è il fatto che il rischio informatico dovrebbe essere affrontato in modo olistico e all’interno di un processo di risk management.
L’azienda dovrebbe quindi avvalersi di un’organizzazione interna o un servizio che sia in grado di garantire contemporaneamente la massima tutela degli asset e degli interessi aziendali e il rispetto delle normative in materia di sicurezza e protezione dei dati.
Pensiamo ad esempio ad un databreach: attualmente la normativa UE sulla Privacy stabilisce che le aziende che mancano di notificare un data breach all’autorità di vigilanza pertinente entro 72 ore dalla violazione potrebbero essere soggette a multe fino a 10 milioni di euro o al 2% del fatturato annuale.
Essere inconsapevoli delle procedure di risposta agli incidenti della propria organizzazione può causare ritardi nei rapporti con l’autorità di vigilanza e portare a maggiori multe e perdite di entrate.
Per questo è importante affidarsi ad un partner che sia anche in grado di supportare l’azienda anche sul piano legale ed organizzativo.
