La cybersecurity è ormai un tema di estrema attualità che coinvolge Paesi, infrastrutture, aziende, toccando argomenti che vanno ben oltre la sicurezza dei dati e che abbracciano tematiche complesse, dal perimetro cybernetico, allo spionaggio fino al fermo dell’operatività dovuto ad attacchi informatici. Sempre più la cybersecurity è un tema che impatta sul business. Ma come risponde il sistema di imprese ed enti locali del territorio italiano di fronte alla minaccia, quotidiana e reale, in ambito cyber?

Il Barometro Cybersecurity, giunto alla terza edizione, nasce nel 2017 da un’idea di NetConsulting cube, Eucacs (European Center for Advanced Cybersecurity) e InTheCyber proprio con l’obiettivo di fornire un quadro esaustivo su politiche, strategie, modelli e strumenti relativi alla cybersecurity adottati dalle aziende italiane di medio-grande dimensione.

La survey è stata condotta nel periodo luglio-ottobre 2019, sia via Web, sia tramite interviste dirette a Chief security officer, Chief information officer, Chief information security officer e Chief technology officer di 72 aziende di media e grande dimensione, enti pubblici locali, istituti sanitari pubblici e privati accreditati. Il 60% del panel comprende aziende top con fatturato superiore a 400 milioni di euro, primari gruppi bancari ed assicurativi italiani ed enti locali di grande dimensione.

Uno scenario in continua evoluzione

Le aziende coinvolte nell’analisi risultano sempre più consapevoli dei rischi legati ad operare in un contesto digitale. In primo luogo, vi intervengono fattori di mercato ormai confermati dalla maggioranza del panel, come l’incremento del perimetro esposto ad attacchi (75%) e la presenza di sistemi sempre più complessi ed interconnessi (70%), legati all’introduzione di tecnologie IoT ed alla diffusione del paradigma di produzione 4.0.

Le sfide dettate dalla Digital Transformation - principali elementi di vulnerabilità riscontrati negli ultimi 12 mesi (Fonte: Barometro cybersecurity 2019)
Le sfide dettate dalla Digital Transformation – principali elementi di vulnerabilità riscontrati negli ultimi 12 mesi (Fonte: Barometro Cybersecurity 2019)

Tutti questi fattori contribuiscono a rendere più vulnerabile una struttura organizzativa in cui il principale elemento critico è rappresentato da comportamenti incuranti o inconsapevoli dei propri dipendenti, e che difficilmente riesce a adeguarsi con rapidità ad un contesto esterno in continua trasformazione – anche a causa di sistemi obsoleti – con il rischio di non rivelarsi adeguata a fronteggiare la minaccia cyber. A questo si somma la proliferazione di dispositivi mobili e connessi (32%), in grado di aumentare esponenzialmente la superficie di attacco.

Cybersecurity Maturity Model

Dall’analisi delle risposte complessivamente fornite riferite a struttura organizzativa, modelli di governance e processi, e soluzioni di difesa e detection adottati in ambito cybersecurity, le aziende del campione sono state posizionate sul cybersecurity Maturity Model, portando all’identificazione di quattro principali cluster di aziende: 

  1. Risky (19%): in cui il livello di maturità in ambito cybersecurity è medio-basso, sia per quanto riguarda governance e gestione della cybersecurity, sia nell’adozione di strumenti e tecnologie;
  2. Developing (15%): dove sia i modelli di governance che le tecnologie a supporto della cybersecurity rilevate sono di livello medio, anche se si rileva la presenza di progetti e attività finalizzati a colmare questo gap;
  3. Technology to improve (42%): il cluster dove si concentra la maggior parte dei rispondenti (42%), in cui ad una buona maturità dal punto di vista della governance e della struttura organizzativa si associa generalmente una copertura soddisfacente, anche se non ottimale, in tecnologie di difesa e detection;
  4. Cybersecurity mature (24%): include le organizzazioni best practice del panel che si distinguono per un elevato livello di maturità sia nella dimensione tecnologica, sia nella dimensione governance.
Il posizionamento delle organizzazioni intervistate sul cybersecurity 4.0 Maturity Model (Fonte: Barometro cybersecurity 2019)
Il posizionamento delle organizzazioni intervistate sul cybersecurity 4.0 Maturity Model (Fonte: Barometro Cybersecurity 2019)

Le organizzazioni intervistate appartenenti ai settori finance (banche ed assicurazioni), energy-utility e telecomunicazioni si confermano le più mature in termini di governance, gestione e tecnologie implementate. Il panel Industria riflette la varietà dimensionale e di settore del comparto in Italia, con realtà avanzate nella difesa dagli attacchi cyber, ed altre che invece risultano particolarmente a rischio nella protezione dalle minacce informatiche. Più arretrati i settori Pubblica Amministrazione e Sanità, leggermente al di sotto della media del panel.

Cybersecurity Maturity: posizionamento per settore relativo a Governance e Tecnologie (Fonte: Barometro Cybersecurity 2019)
Cybersecurity Maturity: posizionamento per settore relativo a Governance e Tecnologie (Fonte: Barometro Cybersecurity 2019)

Il macro-comparto Servizi-Trasporti è in fase di evoluzione, anche se molte sono ancora le misure che devono essere implementate per raggiungere il livello delle organizzazioni più mature. Gdo e Retail, con un Cybersecurity Maturity Index inferiore alla media, presentano i maggiori gap nell’adozione di una struttura in grado di fronteggiare le minacce alla sicurezza, confermando i risultati emersi nella precedente edizione.

Cybersecurity, dove intervenire?

Lo scenario che emerge dall’analisi di quest’anno evidenzia un moderato progresso rispetto alle edizioni precedenti, pur ancora persistendo diversi gap su alcuni fronti. Nonostante il driver degli investimenti sia da associare prevalentemente alla pressione normativa esercitata dall’entrata in vigore di regolamenti come il Gdpr, si rileva un aumento del livello di consapevolezza delle organizzazioni con riferimento al rischio cyber, a cui corrisponde un trend di crescita degli investimenti. Quattro sono i principali ambiti “critici” in cui le organizzazioni intervistate prevedono di concentrare la propria attenzione:

  • Attività di formazione e awareness del personale;
  • Integrazione della sicurezza by-design nelle attività di sviluppo del codice (in ottica di prevenzione del rischio);
  • Messa in sicurezza di dispositivi connessi, da cui è previsto un aumento dei tentativi di attacco nel breve-medio periodo;
  • Sicurezza end-to-end della supply chain di riferimento.

Governance, processi e tecnologie relativi alla sicurezza informatica presentano mediamente, secondo le dichiarazioni dei rispondenti, almeno le misure minime per la protezione della propria organizzazione. Tuttavia, permangono forti differenze a livello di settore, in particolare tra infrastrutture critiche che – come telco, energy, e finance – tentano forzatamente di “alzare l’asticella” della propria organizzazione, e pubblica amministrazione locale e sanità che, nonostante alcune eccellenze, restano inesorabilmente indietro nella messa in sicurezza di dati e sistemi.

In attesa della risposta delle istituzioni, la crescente interconnessione tra sistemi ed infrastrutture, aumentando il livello di rischio generale dell’intero ecosistema, dovrebbe spingere alla costituzione di “gruppi di lavoro cyber” pubblico-privati tra stakeholder per la condivisione delle best practice di gestione della cybersecurity.

Ciò tuttavia ancora non avviene, se non a livello di scambio d’informazioni “informale” e “personale” tra differenti responsabili della sicurezza di grandi organizzazioni. In un mondo in cui sul Dark Web è possibile accedere a risorse malware in modalità as-a-service e in cui la collaborazione tra hacker è sempre più diffusa, dinamiche di shared responsability e di awareness sono delle strade da percorrere.

Leggi tutti gli approfondimenti dello Speciale Cybersecurity 2019

© RIPRODUZIONE RISERVATA