Nell’ultimo anno, i cambiamenti indotti dalla pandemia hanno determinato una rapida diffusione dello smart working e un’accelerazione verso la transizione digitale in tutti i settori. Tutto ciò ha messo a dura prova la sicurezza informatica delle organizzazioni: la crescente apertura dei perimetri aziendali ha esposto applicazioni, dati e processi di business ad una maggiore vulnerabilità, evidenza testimoniata dall’incremento esponenziale degli attacchi cyber a livello mondiale. Secondo il rapporto Clusit 2021, infatti, nel 2020 gli attacchi informatici nel mondo sono aumentati del 12% rispetto all’anno precedente, con 1.871 attacchi identificati. Tra i settori più colpiti la Pubblica Amministrazione e la Sanità, con un trend in aumento rispetto all’anno precedente.

Per affrontare i rischi e le minacce crescenti, le aziende sono chiamate oggi a rivedere il loro approccio alla sicurezza informatica. È questo il tema indirizzato dall’evento virtuale La Cybersecurity oltre la Retorica, organizzato da VMware e NetConsulting cube all’interno dell’iniziativa Cio Exchange Connected Community. Durante il primo dei tre executive virtual breakfast previsti, sono stati condivisi i risultati di una survey condotta da NetConsulting cube tra febbraio e giugno 2021 su un panel di grandi aziende del settore privato e pubblico, con l’obiettivo di identificare le principali priorità evolutive per il 2021, i driver degli investimenti, nonché gli elementi di criticità in ambito cybersecurity.

L’organizzazione della cybersecurity nelle aziende

Relativamente all’organizzazione interna delle aziende, nonostante negli ultimi anni si siano fatti molti passi avanti, ad oggi non ancora tutte le aziende sono strutturate per gestire e governare la cybersecurity.

L’organizzazione della cybersecurity nelle aziende (fonte: NetConsulting cube, Barometro cybersecurity 2021)

Come evidenziato dall’analisi presentata durante l’evento, circa la metà delle aziende del campione (48%) si avvale di un Ciso (Chief Information Security Officer) all’interno del dipartimento IT, mentre il 30% affianca al Ciso anche una figura responsabile della sicurezza (Cso) all’interno della direzione sicurezza aziendale o di altri uffici, con il compito di governare la security a 360 gradi. Al contrario, in circa un terzo delle aziende analizzate, manca completamente una figura responsabile della sicurezza, con la gestione delle attività legate a questa tematica distribuita all’interno della divisione IT. Infine, il 16% del campione ha esternalizzato la gestione delle attività di cybersecurity.

Altro tema importante è la presenza di un Soc (Secuirty Operation Center): il 64% delle aziende analizzate evidenzia la presenza di un Soc, interno, esterno o entrambe le opzioni, mentre il 36% ancora non ne dispone.

Prosegue la crescita della spesa in cybersecurity

La cybersecurity è una tematica in cima alle priorità delle aziende. La spesa in sicurezza informatica è in continuo aumento: circa il 60% delle aziende intervistate, infatti, dichiara un budget in crescita, determinato dall’esigenza di fronteggiare i rischi e le criticità crescenti legate alla protezione dei sistemi. Segue un 35% di aziende che dichiara uno spending in cybersecurity stabile, mentre solo il 6% del panel evidenzia una riduzione del budget dovuta principalmente dal rinvio delle attività progettuali al 2022.

Secondo le stime realizzate da NetConsulting cube, nel 2021 il mercato della cybersecurity in Italia crescerà del 12,4%, a fronte di una crescita più contenuta del mercato digitale complessivo (+ 9%), raggiungendo un valore di circa 1,4 miliardi di euro.

La spesa in Sicurezza Informatica 2021 (Fonte: NetConsulting cube, Barometro cybersecurity 2021)
La spesa in sicurezza informatica 2021 (fonte: NetConsulting cube, Barometro cybersecurity 2021)

Nel campione intervistato, l’incidenza della cybersecurity sulla spesa Ict complessiva per il 25% delle aziende risulta essere sopra il 10%, per il 40% risulta essere compresa tra il 5 e il 10%, mentre il 36% del campione dichiara un budget per la sicurezza inadeguato per rispondere alle minacce a cui le aziende sono attualmente esposte, inferiore al 5% della spesa Ict. Alcune aziende (20%), inoltre, dichiarano nel 2021 il ricorso ad un extra budget destinato alla sicurezza informatica, prevalentemente per attività di messa in sicurezza delle postazioni di lavoro da remoto, di formazione e di sicurezza legata agli ambienti cloud e agli impianti industriali (OT Security).

Protezione dei dati in cima alle criticità

La ricerca ha inoltre indagato la presenza di gap da colmare in ambito security all’interno delle aziende del campione. Il 64% delle aziende indica la protezione dei dati come ambito principale su cui vi sono delle carenze, soprattutto sui temi della crittografia, della protezione dei database e della data loss prevention. A seguire, quasi la metà del campione evidenzia un gap sul tema dei controlli sulla sicurezza del software (protezione repository delle sorgenti, controllo statico, controllo dinamico) e sul controllo degli accessi a sistemi e applicazioni, amplificato dalla diffusione del remote working.

I gap da colmare in ambito security (Fonte: NetConsulting cube, Barometro cybersecurity 2021)
I gap da colmare in ambito security (fonte: NetConsulting cube, Barometro cybersecurity 2021)

Per quanto riguarda il tema della protezione dei dati, indicato come la criticità principale segnalata dalle aziende, non è un caso che al di là di quelli che sono i progetti già conclusi sul fronte dell’adeguamento al Gdpr in termini di soluzioni di back up e restore e di implementazione delle procedure di gestione e segnalazione dei data breach, si evidenzi una carenza che riguarda l’adozione di criteri di data protection by design and default nello sviluppo di prodotti, processi e tecnologie, che si trova ancora ad uno stato iniziale per il 26% del campione.

La strategia cybersecurity 2021-2022

Quali sono le priorità che guidano la strategia di cybersecurity 2021-2022 delle aziende?

In primis il tema della formazione e awareness del personale, dichiarato dal 71% del campione, dovuto alla necessità di sensibilizzare sul tema della sicurezza e rendere tutta l’azienda consapevole dei rischi a cui è esposta e dei comportamenti corretti e delle policy da adottare. A seguire, l’esigenza di prendere consapevolezza delle vulnerabilità dei propri sistemi e applicazioni attraverso attività di penetration test e assesment periodici (60%).

Inoltre, l’analisi ha rilevato un forte incremento relativamente al tema dell’incremento/adozione di logiche di security by design per gestire la sicurezza sin dalla fase di progettazione di sistemi e applicazioni (58% delle aziende). Come evidenziato anche dalla ricerca Bridging The Developer And Security Divide realizzata da Boston Consulting per conto di VMware, per le aziende diventa sempre più necessario far collaborare i team di sviluppo, di security e di IT operations, secondo la metodologia DevSecOps. Questo permette alle aziende di avere una visione integrata delle attività di sicurezza, di considerare gli aspetti critici e di vulnerabilità di applicazioni, processi e prodotti/servizi fin dalle fasi iniziali della progettazione/sviluppo adottando modelli in ottica security-by-design.

Infine, altre priorità in evidente crescita riguardano l’esigenza di incrementare le risorse, interne o esterne, dedicate alla cybersecurity (53% del campione), la revisione della struttura di governance della sicurezza IT (42%) e la simulazione disruptive di attacchi cyber (22%).

Le priorità delle aziende in ambito cybersecurity 2021-2022 (Fonte: NetConsulting cube, Barometro cybersecurity 2021)
Le priorità delle aziende in ambito cybersecurity 2021-2022 (fonte: NetConsulting cube, Barometro cybersecurity 2021)

L’aumento delle sfide alla sicurezza durante la pandemia rappresenta dunque per le aziende un’opportunità per ampliare le proprie competenze nell’ambito della cybersecurity: il 40% del campione prevede un incremento delle risorse dedicate alla sicurezza già nel 2021 e il 16% a partire dal 2022. Le principali figure ricercate saranno quelle di security analyst (63%), di cloud security specialist (53%) e di threat intelligent analyst security architect (47%).

In conclusione, come un’azienda può migliorare il proprio livello di sicurezza? Oltre ad adeguare e potenziare i sistemi IT per quanto riguarda le attività di prevenzione, detection e risposta ad attacchi informatici, le organizzazioni dovranno sempre più focalizzarsi anche sui temi della formazione e della governance e compliance, mettendo in atto le seguenti azioni:

  • promuovere una cultura di sicurezza su tutto il personale per incrementare l’awareness sul tema, anche attraverso formazione specifica e simulazioni
  • promuovere l’importanza della cybersecurity a livello di stakeholder per incrementare il budget dedicato
  • includere la cybersecurity by design a livello di processi, struttura organizzativa e supply chain
  • sfruttare la compliance alle nuove normative come base per lo sviluppo di iniziative volte a ridurre il rischio cyber complessivo

Non perdere tutti gli approfondimenti della room Cio Exchange Connected Community

© RIPRODUZIONE RISERVATA

Condividi l'articolo:

ARTICOLI CORRELATIWHITEPAPER CORRELATIALTRO DALL'AUTORE