Cresce il peso della cybersecurity sulle strategie delle aziende come fenomeno accelerato dalla pandemia e, sempre più, all’interno dei management, la discussione verte sui resiliency plan. Si registra infatti negli ultimi anni un miglioramento in termini di maturità da parte delle imprese di ogni mercato sui temi della sicurezza; permangono tuttavia alcuni gap da colmare, come la mancanza di skill dedicati e i ritardi in ambito security by design, supply chain e governance. Il tutto a fronte del crescere in numerosità e pericolosità degli attacchi nel corso del 2021, con minacce sempre più sofisticate e mirate.
Sono queste le tendenze chiave emerse dai risultati del Barometro Cybersecurity 4.0, lo strumento che verifica il livello di maturità delle imprese in tema di sicurezza, presentato nel corso della XII edizione della Cyber Warfare Conference 2021.
E’ Rossella Macinante, practice leader di NetConsulting cube, ad aprire il la discussione partendo dai dati del Barometro, realizzato in collaborazione con Eucacs (European Center for Advanced Cybersecurity) e InTheCyber. L’analisi, giunta alla quinta edizione, coinvolge un panel di 78 grandi aziende italiane di tutti i settori e si focalizza sui principali temi del maturity model e dello scenario della cybersecurity avvalendosi del contributo dei partner, rappresentati da Cso e Ciso presenti all’evento per un confronto.
Barometro sul livello di maturità del mercato
“Oggi il 41% delle imprese ha un piano di gestione della resilienza a 360 gradi per prevenire e controllare eventi eccezionali ed emergenze cyber, il 16% prevede di averne implementato uno entro il 2022 e il 55% include la cybersecurity come priorità nella definizione dei piani strategici a lungo termine – esordisce Macinante sottolineando l’approccio sempre più propositivo del mercato su questo fronte -. E seppure in percentuali non ancora paragonabili ad altri paesi europei, cresce in Italia la spesa in cybersecuirty, con un trend complessivo stimato per il 2021 in circa 1,4 miliardi di euro, in aumento del +12,4%, ben al di sopra dell’incremento del mercato complessivo previsto al +5,5%. Anche sul fronte della spesa, il 59% delle imprese indica un budget in crescita, per il 40% con un’incidenza tra il 5-10% su budget Ict; c’è una quota del 19%, rappresentato in prevalenza da aziende telco, energy e bancario, che insieme ai trasporti emergono come settori più maturi, dove la spesa può arrivare sino al 15%. Rimane invece un 36% di aziende per cui la spesa è sotto il 5%, a rappresentare un campanello di allarme”.
Si registra dunque un recupero rispetto al passato, in uno scenario che rimane però complessivamente critico. “Il processo di transizione al digitale legato alla remotizzazione del posto di lavoro accelerato dalla pandemia ha interessato la quasi totalità delle imprese – prosegue Macinante -. Con il ricorso a strumenti di difesa meno tradizionali e con lo sviluppo di tecnologie IoT, la superficie di attacco si è estesa così come il potenziale di rischio da parte delle aziende, con impatti a tutti i livelli e in particolare su alcuni settori. La pubblica amministrazione e la sanità si confermano i settori più colpiti, perché ancora poco digitalizzati e carenti di una cultura sulla cybersecurity. Come confermano gli attacchi degli ultimi mesi, con i ransomware che si confermano la tipologia di attacco più diffusa e in continua crescita anche nel corso del 2021″.
Il fattore umano si conferma l’anello debole della catena. Nel 77% dei casi gli attacchi cyber non sono infatti legati ad una inadeguatezza tecnologica ma a criticità organizzative piuttosto che a processi o policy non strutturate correttamente. C’è poi un tema di forte carenza sulla cultura della sicurezza, oltre a quello della supply chain che comincia a rappresentare un forte target in termini di attacchi da parte del cybercrime.
Gap da colmare e priorità
Tra le principali criticità si conferma ai primi posti la protezione dei dati (63% dei casi), legata a tematiche IT di crittografia e data loss prevention o backup, così come il controllo degli accessi a sistemi e applicazioni (50%); c’è poi il controllo sulla sicurezza del software (il 47%). Circa un terzo del campione cita inoltre il tema del controllo delle reti e comunicazioni OT, aziende che hanno un ruolo sempre più strategico. “Questi ambienti – commenta Macinante – si caratterizzano per la fortissima presenza di sistemi legacy o obsoleti spesso non adeguatamente gestiti in termini di sicurezza; qui la principale sfida è quindi quella di supportare l’aggiornamento continuo della componente di sicurezza dei sistemi OT connessi (citata dal 82% delle aziende)”.
Formazione ed awareness emergono come priorità: il capitale è al primo posto per il 71% delle aziende e si osserva una sensibilizzazione anche da parte del Ciso e del top management sulla cybersecurity. Cresce del +29%la necessità di incrementare le risorse interne dedicate alla cybersecurity rispetto al 2020 e cresce anche la necessità di incrementare l’organico e di rivedere la struttura di governance per la sicurezza. “C’è nel complesso un’esigenza complessiva di adeguare la struttura alle nuove minacce e di conseguenza le aziende stanno cercando sempre più di andare in questa direzione”, conclude Macinante.
Sicurezza, partner e aziende a confronto
Lo scenario emerso dall’edizione 2021 del Barometro Cybersecurity 4.0 è lo spunto per aprire un confronto tra i protagonisti della tavola rotonda virtuale che coinvolge Cso e Ciso di aziende ed enti che danno il loro punto di vista sulle sfide poste dalla cybersecurity.
Domenico De Angelis, head of cybersecurity, Intesa Sanpaolo spiega come si possa, in tema di sicurezza, conciliare l’esigenza di un approccio basato sulla velocità con le complessità di una grande azienda: “La garanzia dei servizi gestiti e la continuità operativa, fornita negli ultimi anni ai clienti quasi come una commodity, è ritornata in auge. In Intesa Sanpaolo abbiamo dovuto ripensare il nostro modello per potere offrire i nostri servizi in qualsiasi condizione. Ci siamo spostati da una logica di resiliency a una logica di readiness e abbiamo introdotto una serie di elementi dinamici nella valutazione del rischio per porre in essere contromisure immediate di protezione degli asset dell’organizzazione. Si arriva a questo con preparazione, formazione, lavoro sul fattore umano a tutti i livelli, test, simulazione di grandi eventi critici coinvolgendo anche il top management. Serve anche un ruolo da parte dello Stato. Il ruolo dell’Agenzia Nazionale ben venga (si ricorda nel dibattico che si tratta di 800 persone dedicate per un lavoro sinergico tra livello governativo, accademico e impesa e 10 miliardi di euro da investire), perché i singoli possono fare qualcosa ma serve fare sistema”.
La necessità di readiness per gestire in velocità problematiche di cybersecurity in un percorso continuo che oltre all’automazione coinvolga il fattore umano anche a livello tecnico. Lo sottolinea Nicola Sotira, responsabile Cert, Poste Italiane: “Oggi stiamo colpevolizzando l’utente ma anche gli strumenti devono darci una mano. Dobbiamo fare un salto di qualità e lavorare insieme per dare skill e formare costantemente le persone con programmi che aiutino anche le risorse interne a crescere in questo mondo complesso. Un approccio proattivo già avviato in Poste Italiane, per dare visione e indirizzare nella complessità (oggi Poste Italiane conta oltre 30 milioni di carte e 15 milioni di contatti). Serve dunque formazione ed esercizio. Noi lo facciamo con risultati evidenti: abbiamo codificato i processi e ci appoggiamo a software e piattaforme che ci aiutano; stiamo lavorando anche su fattori come predicibilità, per capire su quali vulnerabilità concentrare l’effort e indirizzare gli IT ad essere efficaci”.
Fabio Florio, business development manager, Cisco si sofferma sul tema della remotizzazione del lavoro e sulle sue conseguenze: “Con la pandemia evolve il perimetro di controllo degli utenti il che aggiunge un’enorme complessità alla gestione della sicurezza. Le esigenze principali sono quelle di mettere in sicurezza i tre elementi: accesso (legato sempre più al cloud), utente e device, che espongono l’azienda a crescenti minacce anche in relazione alla crescita delle soluzioni di collaboration. Si consacra il fatto che servono nuovi approcci e modelli che ragionino non su singole problematiche, come faceva l’antivirus, ma guardino ad un approccio generalizzato in linea con i nuovi trend come il Sese – Secure Access Service Edge lanciato da Gartner, che vede dare l’accesso con giuste credenziali all’utente abbinandolo a soluzioni di sicurezza”.
Approccio zero trust per la mitigazione del rischio. E’ la strategia suggerita da Gianni Napoli, presales director Emea, Rsa Security , che dichiara: “Abbiamo osservato che durante la pandemia in situazioni di emergenza sono stati assegnati repentinamente alle persone nuovi ruoli per carenza di personale. Imprevisti che possono diventare problematici perché l’assegnazione di accessi temporanei agli utenti può causare rischi potenzialmente elevati. C’è una carenza di governance per quanto riguarda le identità create che va colmata. Dobbiamo essere pronti a rispondere agli incidenti. E’ ciò che facciamo da quando abbiamo acquisito tecnologie di monitoraggio per non non lasciare mai a nudo il cliente e poter reagire in tempi più rapidi possibili quando c’è una crisi. La valutazione del rischio effettivo da un lato e la capacità di reazione dall’altra sono il binomio vincente“.
Giorgio La Spina, head of Italian cyber security Unit, Capgemini ribadisce l’importanza delle competenze come strategia a livello sistemico: “In Italia mancano 100.000 esperti sicurezza e questo rappresenta un grosso problema. Il tema della cybersecurity va inserito all’interno di percorsi scolastici dalle elementari; alcuni Paesi come la Spagna l’hanno capito. C’è un tema di cultura e serve una strategia nazionale che preveda con il contributo degli esperti di settore di formare gli insegnati e di conseguenza gli alunni nell’adottare le tecnologie, come ad esempio l’utilizzo corretto dei social network. Si tratta di un investimento sul futuro, perché i ragazzi saranno gli esperti di domani. Capgemini contribuisce a questo processo con una propria University e programmi di e-learning specifici a supporto sulla sicurezza informatica e un centro formativo per fare esercizio di detection, oltre che collaborazioni localmente attive che ci consentono di rinnovare la forza lavoro e riuscire a trattenerla con progetti stimolanti”.
“In questo momento storico, il problema della cybersecurity da un punto di vista delle competenze tecnologiche è l’elemento più evidente, anche in confronto con il resto dell’Europa – concorda Ettore Galluccio, security principal director, Accenture –. Si deve partire indiscutibilmente dalla scuola elementare istituendo un’educazione cibernetica digitale e sensibilizzare la classe docente sulle competenze. Ci sono temi di salario, in un mercato provato, dove servono risorse mirate e una visione progettuale, fornire la capacità di essere formati all’interno delle aziende per contribuire ad accrescere le competenze e formare nuove squadre di professionisti Ict“.
Non perdere tutti gli approfondimenti dello Speciale Barometro Cybersecurity 2021
© RIPRODUZIONE RISERVATA