La presentazione dell’analisi svolta sul tema Sicurezza da Nextvalue in collaborazione con Cionet riferita al territorio italiano (178 Cio, Cso, Ciso e figure legate alla sicurezza intervistati) e dell’Annual Security Report 2016 di Cisco (di livello globale, derivato dai dati raccolti tramite le reti dell’azienda nonché da svariate ricerche e interviste supplementari svolte sul tema dagli esperti di security di Cisco stessa), hanno dato indicazioni precise sui progressi compiuti sia sul fronte della sicurezza sia del cybercrime. Di seguito alcune evidenze emerse.
1) Crescono consapevolezza e budget… ma non abbastanza
Secondo i dati Cisco, tra il 2014 e il 2015, il numero di organizzazioni che dichiarano di avere infrastrutture di sicurezza aggiornate è sceso del 10% e sul 92% dei dispositivi internet sono in esecuzione vulnerabilità note. Questa debolezza risulta particolarmente evidente nelle Pmi, che tendono a sottovalutare il tema della security perché si sentono poco attrattive per i cybercriminali e si attivano sul fronte sicurezza solo se subiscono un attacco fortemente dannoso; i dati smentiscono però questo disinteresse del cybercrime e, al contrario, come ha fatto notare Terry Greer-King, Director of security for Cisco Uk&I, le loro vulnerabilità sono considerate porte di accesso molto utili non solo per colpire loro, ma anche come canale per arrivare alle grandi imprese con cui queste collaborano.
Tra le cause dell’arretratezza rilevata da Cisco (secondo il Report, meno della metà del panel è fiducioso sulla propria capacità di determinare la portata di una violazione alla rete e di rimediare ai danni), vi sono vincoli di budget, il maggiore dei freni per le aziende meno mature a livello security strategy (vedi figura). Un problema, quello economico, che trova riscontro anche nei dati Nextvalue relativi al panorama italiano (nonostante il fatto che il panel, a differenza di quello Cisco, più vario, sia costituito solo da Top e medio grandi aziende): non manca la consapevolezza, da parte dell’It, di essere a rischio – il 46% delle realtà dichiara che molto è stato fatto ma sa che c’è molto ancora da fare – e, coerentemente, gli investimenti sono in aumento nell’86% delle imprese, ma la grande maggioranza delle aziende prevede per il 2016 una crescita della spesa in sicurezza di meno del 5% del budget dedicato all’It. Sia da parte dei relatori sia da parte del pubblico, all’evento Nextvalue è stato messo in evidenza che in Italia il budget dedicato all’It corrisponde a percentuali molto basse dei fatturati complessivi delle imprese (mediamente intorno all’1%) e quindi lo sforzo appare insufficiente a rispondere ad attacchi hacker sempre più sofisticati.
2) Il management è coinvolto, ma il dialogo con i responsabili della sicurezza non è diretto
Secondo la ricerca Nextvalue, in quasi il 60% dei casi analizzati, il board ha un ruolo attivo nella definizione della strategia di Cyber Security, una percentuale cresciuta del 7% rispetto al 2014; più del 50% del panel dichiara anche di avere un Responsabile di Cyber Security; tuttavia, questo solo raramente riporta alla direzione generale e nella maggioranza dei casi è invece alle dipendenze del Dipartimento It: non può dunque considerarsi un elemento capace di influenzare il top management in modo diretto. Una situazione che potrebbe forse mutare in relazione a una ulteriore crescita (trend registrato da Cisco) dell’interesse sul tema sicurezza da parte delle autorità legislative (vedi articolo di pag. 48) e degli investitori: è infatti aumentata nel 2015 la richiesta di trasparenza esercitata da questi due attori di mercato sulle aziende, a testimoniare come l’argomento sia riconosciuto in modo sempre più diffuso come elemento “critico” per la competitività aziendale.
3) Tempi di rilevamento troppo alti
Aziende dai confini sempre meno definiti e criminali sempre più abili: per quanto si sia preparati, non è mai possibile ritenersi completamente sicuri: il rischio di subire un incidente esiste in ogni caso. Per questo diventa a maggior ragione importante il tema del rilevamento degli attacchi subiti; secondo Cisco, questo valore medio corrisponde a un periodo di 100-200 giorni, un tempo evidentemente inaccettabile. Nel panorama italiano aumenta la presa di coscienza rispetto al problema, soprattutto tra le aziende del panel Nextvalue dotate di una strategia di Security: di queste, il 58% considera infatti le soluzioni di rilevazione una priorità di investimento per il 2016, una percentuale cresciuta del 13% rispetto all’anno scorso.
4) Il caso WordPress
Rispetto alle modalità di attacco, una particolare attenzione, durante l’evento di presentazione dei risultati del report di Cisco, è stata dedicata alla forte crescita del numero di domini WordPress sfruttati dai criminali come canale di contagio; il numero di quelli compromessi è cresciuto tra febbraio e ottobre 2015 del 221%; data la popolarità del Cms sono molte le aziende, non solo di piccole dimensioni, che si sono affidate ai servizi offerti, e che dunque, a causa delle vulnerabilità di questi domini, sono a rischio.
Anche le estensioni dei browser, avvisa Cisco, sono un tallone d’Achille: anch’esse sempre più sfruttate dai malintenzionati, sono state segnalate tra i potenziali fattori causa di perdite di dati da oltre l’85% delle organizzazioni.
5) La tecnologia è necessaria, ma non sufficiente…
Dotarsi di soluzioni tecnologiche adeguate, è ormai imprescindibile, ed è di particolare importanza che queste possano lavorare in modo armonico, evitando i silos che spesso si generano quando le aziende implementano nel tempo soluzioni diversificate senza curarne sufficientemente l’integrazione. Ma la tecnologia è solo una parte della soluzione: secondo Nextvalue, la vulnerabilità maggiore restano le persone, sia It che non It, rispetto a cui (hanno insistito su questo aspetto gli ospiti di entrambi gli eventi) devono aumentare gli sforzi per una formazione qualitativamente migliore, seguita da un sistema di verifica che testi l’efficacia delle practice attuate per arrivare a generare un senso di responsabilità nei dipendenti ancora scarso in molte realtà.