Crescono gli investimenti in tecnologie IoT e aumenta in modo consistente anche il budget dedicato alla security dei nuovi ambienti connessi. Incontriamo Fabio Cappelli, partner EY e IT Compliance and Cyber Security leader for Med (Italy, Spain, Portugal), che ci illustra in poche parole le evidenze dell’ultima edizione della “EY Global Information Security Survey” (GISS). La ricerca fotografa il panorama globale dell’information security – un settore che in Italia ha raggiunto il ragguardevole giro d’affari di 1,4 miliardi di euro, con proiezioni di chiusura dell’anno in corso a quota 1,5 miliardi. Lo studio è stato condotto da aprile a luglio su un campione di 1.400 C-level di grandi aziende (una cinquantina quelle italiane coinvolte).
“Il contesto attuale – esordisce il manager – è piuttosto sconfortante. Due miliardi di record personali compromessi tra gennaio 2017 e marzo 2018; 6,4 miliardi di e-mail false ogni giorno e il costo medio di un security breach che ormai è salito a 3,4 milioni di dollari”. E i dati italiani non rincuorano di certo: solo il 14% degli intervistati ritiene che il proprio approccio all’information security sia adeguato alle nuove esigenze di organizzazioni ormai sempre più aperte verso l’esterno. Ben il 97% delle aziende italiane ritiene di non investire adeguatamente in information security, mentre solo il 55% la considera nelle proprie strategie di investimento attuali. Allo stato attuale, solo il 5% del personale IT si occupa di cybersecurity e in 7 organizzazioni su 10 un aumento di budget si verificherebbe solo a fronte di un data breach, si evince dal capitolo italiano del report.
“Il 62,5% delle realtà intervistate ha subìto un incidente significativo nell’ultimo anno – prosegue Cappelli – e i danni prodotti oscillano tra 1 e 2 milioni di euro. Quasi la metà delle aziende dichiara che non sarebbe in grado di identificare un attacco sofisticato, tanto che molte organizzazioni prevedono un budget separato per gli imprevisti legati al data breach”.
Phishing e malware continuano a mietere vittime
Le minacce principali si confermano il phishing, sempre più sofisticato, e il malware, teso a generare un disservizio o un danno all’organizzazione.
Le vulnerabilità rimangono ancora in parte le stesse di sempre: i comportamenti negligenti dei dipendenti (il cosiddetto “fattore umano”) che rendono gli attacchi di social engineering particolarmente pericolosi. Ancora, i controlli di sicurezza obsoleti, conseguenza di infrastrutture datate e difficili da aggiornare. Infine, le vulnerabilità dei device mobili, spesso neppure protetti da password, di frequente oggetto di furto o smarrimento.
“Il GDPR ha acceso il faro sul tema dell’information security e se non altro oggi c’è consapevolezza sulle sanzioni. Tuttavia, la risposta è assolutamente parziale perché focalizzata sulla protezione del dato personale mentre bisogna guardare oltre, all’ecosistema della sicurezza nel suo complesso, alla protezione della fabbrica connessa, della supply chain connessa…”.
Servono competenze nuove
Se si analizzano le principali aree di investimento, spiccano Cloud, Big Data e Internet of Things. In quest’ultima area investe ben il 44% delle aziende, cui corrisponde un incremento di ben 38% degli investimenti in sicurezza specifici. A seguire, robotics, Machine Learning e Blockchain.“Queste tecnologie richiedono competenze del tutto nuove – conclude il manager –, perché la protezione classica è completamente diversa dalla quella degli ambienti connessi. Per questo è importante lavorare su più fronti. Anzitutto, aumentare la consapevolezza sul tema. Ancora, pensare non più alla protezione dei dati ma alla tutela dell’ecosistema della sicurezza, guardando oltre il perimetro dell’azienda fino agli outsourcer o ai service provider. È, poi, necessario aumentare il budget dedicato. Le nuove opportunità offerte dal digitale fanno il paio con nuovi rischi. Le aziende devono, quindi, incorporare le tematiche della cybersecurity all’interno del proprio DNA”.