La seconda edizione del Barometro Cybersecurity, attività promossa e realizzata da NetConsulting cube ed EUCACS, ideata d’intesa con InTheCyber e con il contributo di CA Technologies ed Oracle, ha l’obiettivo di fornire un quadro esaustivo dell’attuale situazione delle aziende e degli Enti italiani in termini di politiche, strategie, modelli e strumenti relativi alla Cybersecurity, oltre quello di costruire un Cybersecurity Maturity Model su cui posizionare i partecipanti alla rilevazione.
La survey (realizzata da luglio a ottobre 2018) è stata condotta sia in modalità web, sia tramite interviste dirette a Chief Security Officer, Chied Information Officer, Chief Information Security Officer e Chief Technology Officer di oltre 70 organizzazioni; nel caso di aziende private con fatturato superiore ai 150 milioni di euro, mentre nel caso di Enti si è trattato di Enti Pubblici locali e istituti sanitari pubblici e privati accreditati.
Gli incontri e le informazioni rilevate presso i CSO ed i CISO hanno evidenziato come poter affrontare al meglio le sfide della Cybersecurity sia importante non solo adottare, internamente o tramite servizi esterni, soluzioni e strumenti per incrementare il proprio livello di difesa, ma mettere in pratica una serie di strategie ed azioni di governance senza le quali la pura adozione di tecnologie rischia di non essere efficace.
Come sono strutturate le aziende e gli Enti che hanno partecipato alla rilevazione?
I risultati evidenziano differenti modelli di governance e gestione della Cybersecurity. La presenza di un dipartimento autonomo, ma interno alla Funzione IT, è la tipologia di struttura dominante presso il panel considerato (75%). Il 50% delle aziende intervistate si è dotata di una struttura di Information Security esterna alla Direzione Sistemi Informativi, o di una Direzione sicurezza presente a livello Corporate, che è tendenzialmente sotto la guida di un Chief Security Officer.
Banche e Telecomunicazioni sono i settori dove si rileva la maggiore presenza di dipartimenti e direzioni esterne alla funzione IT, mentre appartengono ad Industria e Retail/GDO la quota maggioritaria del 33% di aziende che scelgono di esternalizzare la gestione delle attività legate alla Cybersecurity.
A dimostrazione della crescente importanza del tema Cybersecurity sono ormai rari i casi di assenza di una struttura dedicata ed autonoma, che riguarda appena il 17% del campione e per lo più in settori come PA locale e la Sanità.
Molto meno diffusa la combinazione di un ufficio autonomo, esterno all’IT, ma funzionalmente dipendente da altri dipartimenti, come Risk & Compliance o Operations.
In questo contesto, permangono tuttavia alcune criticità: un terzo delle aziende intervistate ha indicato infatti il proprio modello organizzativo come «non adeguato» a fronteggiare le numerose sfide a livello di business, normative e di gestione del rischio che il nuovo scenario di Cybersecurity impone.
Tra i settori maggiormente critici vi sono quello della Sanità, della GDO e dei Servizi/trasporti: mediamente oltre 1 realtà su 2 valuta la propria struttura inadeguata, con punte prossime all’80% nel mondo sanitario.
I principali gap sono stati indicati nella di risorse dedicate, in termini di numerosità (87%) e di skill specialistici (61%).
In risposta, il 47% delle aziende prevede un incremento delle risorse dedicate alla Cybersecurity per il 2019. Security analyst, risk analyst, threat intelligence analyst e network security specialist risultano i profili più ricercati dalle organizzazioni che intendono rafforzare il proprio team di Security, cui si associano profili “nuovi” come ad esempio l’IoT security specialist o l’Incident response specialist.
Nonostante si confermi uno scenario in cui la Cybersecurity acquista crescente importanza, è ancora limitato (solo il 21%) il numero di organizzazioni che hanno sostenuto un processo di certificazione delle risorse e dell’organizzazione in ambito Cybersecurity.
Gli standard del portfolio ISO 27000 sono le certificazioni più diffuse, seguite dalla policy PCI per le aziende che si interfacciano con sistemi di pagamento gestiti dai principali circuiti di carte di credito e dalla normativa SOX, per le aziende quotate sul mercato azionario statunitense.
Più della metà dei rispondenti preferisce utilizzare i principali standard di Cybersecurity, in particolare la direttiva NIST, considerata la più completa e rigorosa, o altre disposizioni di settore, come modello di riferimento per la governance di sicurezza di sistemi e informazioni.
Il ricorso a standard e certificazioni, in particolare per quel 21% di aziende del panel che, allo stato attuale, non ne prevede nessuno, si rivelerà sempre più fondamentale in ottica di fiducia e retention della propria clientela, in relazione al crescere dell’attenzione verso la sicurezza dei propri dati personali.
TLC, Banche i settori con la maggiore presenza di certificazioni mentre, al contrario, PA sanità ed industria i settori in cui non sono presenti neanche standard di riferimento da prendere come modello.
Questo quindi lo scenario di “governance” emerso dalla rilevazione di quest’anno.
Il livello attuale di copertura delle organizzazioni intervistate
L’analisi ha permesso di individuare un panorama molto variegato, in cui sono presenti ambiti in cui quasi la metà dei CSO e CISO intervistati ha indicato un grado di copertura medio alto, come nel caso di architetture di continuità (DR e BC) e sistemi per il controllo delle reti e delle comunicazioni.
Per altri ambiti la maggioranza delle organizzazioni ha indicato l’adozione di strumenti di controllo, ammettendo però la possibilità e la necessità di incrementarne l’efficacia e l’ambito di copertura; tra questi elementi si trova la sicurezza dei sistemi, il controllo degli accessi e le protezioni da malware e APT.
Tuttavia, sono emersi vari aspetti in cui una quota rilevante di organizzazioni (prossima al 40%) ha ammesso un livello carente e limitato di copertura, primo fra tutti in tema di controlli sulla sicurezza dei software, seguito dall’adozione di sistemi per la protezione dei dati (ad esempio la crittografia) e dai controlli periodici del livello di affidabilità delle protezioni.
Un miglioramento del livello medio di copertura dei sistemi è inevitabile e necessario, al fine di limitare la presenza di anelli deboli nei sistemi di difesa che, se attaccati, possono compromettere l’integrità dei sistemi nel loro complesso, rendendo inefficaci i pur validi sistemi adottati.
Il livello di maturità Cybersecurity delle aziende italiane
Analizzando per ogni singola organizzazione la tipologia di struttura organizzativa, governance e processi di Cybersecurity, insieme con la presenza di soluzioni tecnologiche per difesa, detection e risposta agli attacchi informatici sono stati costruiti degli indicatori che permettono di mappare ogni rispondente su un Cybersecurity Model, in cui sono stati identificati quattro principali cluster di aziende.
Circa la metà delle aziende si colloca nei cluster a maggior rischio, ancora sotto la media nella definizione sia di una strategia di Cybersecurity a trecentossessanta gradi sia di adeguate misure di prevenzione e difesa.
Il 39% si posiziona invece nel raggruppamento Technology to improve, dove ad una buona maturità dal punto di vista della governance si collega la necessità di ulteriori investimenti in tecnologia, mentre solo il 10% si qualifica come Cybersecurity Mature.
Telecomunicazioni, Utility e Banche si confermano i settori più avanzati sia dal punto di vista organizzativo sia nell’adozione di soluzioni e strumenti per la difesa e la gestione della Cybersecurity. Critico invece il livello di maturità dei comparti PA locale e Sanità, che emergono come i settori con maggiore gap in termini di consapevolezza e di adozione di un modello organizzativo adeguato nel contrastare le minacce crescenti in ambito sicurezza informatica.
Particolare attenzione desta il settore Sanità, dove l’elevato tasso di obsolescenza dei sistemi IT, associata all’introduzione di dispositivi medicali connessi e alla necessità di formare il personale medico, evidenzia il rischio di attacchi informatici per il furto di dati, sanitari e biometrici, particolarmente sensibili.
Complessivamente, lo scenario emerso da questa seconda edizione rappresenta il persistere di gap su alcuni fronti, pur in presenza di un progresso rispetto agli scorsi anni per effetto di una maggiore consapevolezza dei rischi connessi alle minacce cyber e grazie alla pressione esercitata sulle aziende dall’entrata in vigore della GDPR.
I gap da colmare riguardano principalmente:
- competenze sul fronte tecnico e formazione delle risorse, considerato che il fattore umano continua a rappresentare un anello debole non trascurabile e che la sola adozione di strumenti di difesa non è sufficiente;
- la necessità di incrementare le Policy by design, che devono sempre più essere integrate nei processi di sviluppo software, così come essere embedded nei nuovi dispositivi connessi;
- la necessità di un ulteriore processo di sensibilizzazione, compreso il miglioramento del rapporto tra partner, fornitori e clienti in ottica di shared responsibility.
Di certo una progressiva adozione di standard e certificazioni in grado di permeare l’intera organizzazione consentirà di acquisire un approccio e un modello di governance, oltre che una maggiore consapevolezza dell’importanza della cybersecurity a tutti i livelli aziendali.
Tuttavia, la cyber difesa di un’organizzazione non può prescindere da quella componente umana che, involontariamente, costituisce una delle principali vulnerabilità ed a tal proposito aziende ed Enti continuano costantemente un processo di formazione ed awareness a 360°.
A programmi di formazione specifica deve essere affiancata una struttura organizzativa in grado di reagire e prevenire le minacce cyber, una criticità alla quale le organizzazioni intervistate pongono rimedio con la ricerca di profili specialistici e skill innovativi, non sempre però facilmente reperibili sul mercato del lavoro.
Leggi tutti gli approfondimenti dello Speciale Barometro Cybersecurity 2018
© RIPRODUZIONE RISERVATA
