Il mercato della sicurezza informatica è cresciuto nel 2019 dell’11% e ha raggiunto 1,3 miliardi di euro, secondo dati dell’Osservatorio Information Security & Privacy 2020, in parte come conseguenza dell’aumento della consapevolezza indotta dalla regolamentazione, GDPR in primis. Lo ha evidenziato Alessandro Piva, Direttore Osservatorio Information Security & Privacy, Politecnico di Milano, portando a conferma i risultati della Survey Innovation 2019 (1) che evidenzia come, per l’innovazione digitale, siano considerati prioritari gli investimenti per la gestione di information security, data protection e risk management, balzati dalla sesta posizione dell’anno precedente alla seconda, nel 2019 (figura 1).
“La sicurezza informatica non è più percepita come un ostacolo all’adozione di nuove tecnologie e servizi, ma come un fattore fondamentale per il successo del business”, ha sottolineato Piva.
Il convegno Security-enabled transformation: la resa dei conti è stato l’occasione per illustrate i risultati della ricerca dell’Osservatorio Information Security & Privacy della School of Management del Politecnico di Milano, che ha coinvolto circa 700 imprese di tutte le dimensioni (figura 2).
Tutti i dati dell’Osservatorio Information Security & Privacy 2020
Le soluzioni di security concentrano il 52% degli investimenti, mentre il restante 48% compete ai servizi che però crescono a un ritmo superiore, almeno per il 45% delle aziende. La maggior parte degli investimenti si concentrata ancora in soluzioni tradizionali come la protezione della rete fisica e logica (36%), la sicurezza degli endpoint (20%) e la sicurezza applicativa (19%). La protezione degli ambienti cloud concentra solo il 13% della spesa ma presenta, con il 55%, il maggior trend di crescita.
Nonostante l’aumento degli investimenti, l’efficacia delle misure di sicurezza si scontra con il ritardo organizzativo e di gestione. Nel 40% delle imprese la gestione dell’Information Security è affidata ancora al CIO e all’IT, mentre è assente un responsabile della sicurezza (CISO) che, anche quando esiste, riporta alla divisione IT nel 27% dei casi.
In ambito industriale, dove l’interconnessione di sistemi industriali e la diffusione di dispositivi IoT aumentano la consapevolezza della necessità di protezione degli ambienti OT (Operational Technologies), la sicurezza è di competenza della funzione IT nel 47% dei casi, è affidata alla divisione Information Security nell’11% delle aziende o alle Operations nel 4%, mentre per circa un quarto delle organizzazioni se ne occupano più funzioni aziendali.
Una novità che emerge dalla ricerca è il ruolo crescente dell’Intelligenza artificiale nella gestione della sicurezza, utilizzata dal 45% delle grandi imprese che lo impiegano soprattutto per rilevare potenziali minacce (71%), attraverso il monitoraggio dei comportamenti dei sistemi e delle persone, nell’identificazione di tentativi di phishing (41%) e nella prevenzione di possibili frodi (25%). (figura 3)
Una tavola rotonda ha affrontato il ruolo strategico della sicurezza nella trasformazione digitale, esaminandola da più punti di vista e con diversi approcci, per rispondere alla domanda: dove e come dovrebbero investire le aziende per ottenere una protezione efficace, contando su un budget inevitabilmente limitato?
Si parte dal cloud, ma l’obiettivo degli attacchi è l’on premise
La ricerca evidenzia l’aumento degli investimenti nella sicurezza nel cloud anche come risposta all’aumento delle minacce. Tuttavia Carlo Mauceli, CTO di Microsoft Italia, considera errata la percezione di un aumento di degli attacchi al cloud: “In realtà questi attacchi tentano di passare attraverso il cloud per colpire le infrastrutture on premise dove risiedono i veri obiettivi: dal nostro punto di vista, il 90-95% degli attacchi mirano a sottrarre le credenziali che si trovano on premise”. La maggior parte delle imprese adotta infatti architetture ibride e da un lato sfruttano i servizi che il cloud offre, ma dall’altro tengono in casa il core business. Ed è nella parte on premise che si trovano le vulnerabilità maggiori. “Come Microsoft abbiamo effettuato una ventina di interventi per rimediare a situazioni di attacco; nella quasi totalità dei casi tutto nasceva da una malconfigurazione”, aggiunge il CTO, che indica fra le principali ragioni della difficoltà a tradurre in misure efficaci di protezione la consapevolezza diffusa fra le imprese sui temi della sicurezza: il fattore umano, per carenza di conoscenza, formazione e sensibilità, il software open source non governato, la difficoltà di gestire la sicurezza lungo la supply chain, il patching spesso mal gestito, trascurando la possibilità, attualmente disponibile, di attuarlo as a service.
Tecnologia, processi, persone
La ricetta che Renato Russo, Business Development Professional di Fastweb, propone alle organizzazioni per ridurre il rischio prevede interventi basati su una matrice tridimensionale (tecnologia, processi, persone) dove ciascuna dimensione è efficace solo se sono contemporaneamente presenti le altre due:
- Il layer tecnologico è rappresentato da una sicurezza multilivello dove operano sia modelli deterministici, sia modelli predittivi che utilizzano l’analisi comportamentale e l’intelligenza artificiale per individuare pattern anomali.
- Il layer dei processi, costituito da attività interagenti e correlate, deve svolgere monitoraggio, test e audit, basati sulle procedure normative e le best practice. “La gestione delle vulnerabilità non può essere relegata ad attività spot ma deve essere realizzata attraverso processi”, sottolinea.
- Il layer costituito dalle persone è infine il più eterogeneo in quanto comprende ad un estremo l’end user, che deve avere adeguata consapevolezza per riflettere tutte le volte che apre una email o quando espone un dato in cloud, mettendo in atto le policy aziendali, e all’altro estremo le persone con il massimo livello di competenza nel campo delle sicurezza e del rischio.
Sono in ogni caso indispensabili tutte le iniziative necessarie per aumentare il livello di consapevolezza di tutti gli attori. “A questo scopo Fastweb collabora da anni con Clusit, cercando di sviluppare la cultura della sicurezza in Italia” conclude Russo e suggerisce: “Le aziende devono evolvere verso un security operation center”.
Osservatorio Information Security & Privacy 2020: l’intelligence del software per misurare i rischi operativi
La Ricerca evidenzia che solo metà delle organizzazioni gestisce il rischio sicurezza come un processo integrato. (figura 4)
Lo ricorda Michele Slocovich, Solution Design Director di Cast Italia, aprendo il suo intervento con la domanda: “Come ovviare alla carenza di un approccio olistico alle problematiche di sicurezza?”. E si interroga al tempo stesso su come “evitare gli angoli ciechi”, sempre presenti quando ci si occupa di cyber security, “buchi” nella sicurezza che possono dipendere dai tool, dalle strutture organizzative, dalla supply chain e da una serie di fattori esaminati dalla ricerca dell’Osservatorio.
Cast offre una sua risposta in ambito applicativo, grazie a una soluzione che utilizza un sistema di intelligence; attraverso l’analisi del codice applicativo rileva la configurazione del sistema per verificare l’adeguatezza architetturale del software e al suo governo. Dall’analisi del software si desumono metriche utilizzate nelle attività di governance, anche per quanto riguarda la supply chain, e utili per valutare, ad esempio, se il software sviluppato può considerarsi sicuro by design in quanto nello sviluppo sono state applicate le best practice di sicurezza. L’obiettivo è trasformare l’analisi del rischio da qualitativa a quantitativa per andare a misurare in modo accurato i rischi operativi presenti negli asset applicativi e la produttività dei processi di sviluppo e di manutenzione del software.
Una soluzione AI per rilevare le frodi on line
Illimity Bank è un’azienda bancaria nativa digitale che, nel momento in cui ha deciso di aprire il canale diretto on line, ha pensato di doversi dotare di strumenti per dare fiducia al cliente, mettendolo al riparo dalle minacce in rete, come ad esempio le frodi bancarie. Dopo uno scouting veloce sulle soluzioni di mercato e a basso impatto per l’online fraud detection, la scelta è caduta su Cleafy (gruppo Moaviri). La soluzione prevede lo sniffing del traffico sul canale bancario, valuta il rischio associato alla sessione utente e arriva a bloccarla nel caso si raggiunga la certezza che si tratta di una frode. “Abbiamo scelto strumenti che usano la potenza dell’AI, sono facili da mettere in linea in tempi brevi, con impatto applicativo nullo. Siamo riusciti a configurarli e abbiamo imparato facilmente ad usarli anche grazie alle risorse messe a disposizione dal fornitore”. Attualmente è in fase di definizione la parte organizzativa con l’obiettivo di ottenere la massima risposta in caso di emergenza. Ma Dozio è fiducioso che una buona soluzione basata sull’AI che affianchi risorse umane capaci possa risultare efficace anche se certo non risolverà tutti i problemi di sicurezza.
In conclusione, per difendersi da un numero crescente di minacce alla sicurezza che diventano sempre più pericolose, le imprese sono chiamate a mettere in atto logiche di security-by-design e strumenti di protezione in tempo reale, senza trascurare le misure di protezione basilari, e attuando al tempo stesso le necessarie trasformazioni organizzative.