Il business digitale ha portato alla ribalta i temi della sicurezza informatica e della web experience, soprattutto in settori dove si gestiscono dati sensibili e il servizio al cliente è un fattore particolarmente critico. La survey condotta da ZeroUno per conto di Akamai, su un campione di 30 aziende italiane rappresentative, ha fotografato lo stato della cybersecurity nel Finance, sottolineando i risvolti economici e gli impatti sull’esperienza utente. Luca Bechelli, Comitato direttivo e Comitato tecnico-scientifico del Clusit, ha presentato i risultati della ricerca durante l’Executive Cocktail "Finance: strategie di security e web-experience".
 | Di questo servizio fanno parte anche i seguenti articoli: |
 | LO SCENARIO – Finance, come si legano sicurezza e web experience |
|
| IL DIBATTITO – La sicurezza vista da Banche e Assicurazioni: quali prospettive? |
|
| LA TECNOLOGIA – Akamai, quali offerte per il Finance digitale |
Minacce alle web application e soluzioni adottate
In generale, le minacce crescono in numero e sofisticazione. Si registrano con maggiore frequenza: malware o virus con richiesta di riscatti (per esempio, Cryptolocker), phishing o furto di credenziali di accesso; attacco ai siti web con prevalenza di Sql Injection; social engineering.
 Figura 1 – Tipologie di attacco alle applicazioni riscontrate con maggiore frequenza tra le aziende del FinanceFonte: Web survey Finance: criticità e aspettative tra security e web experience – ZeroUno – maggio – giugno 2016 – 30 rispondenti, di cui 23 del segmento Finance |
In particolare, gli attacchi applicativi ai portali hanno ricadute importanti sulla user experience. Quali difese stanno dispiegando gli istituti finanziari? “Innanzitutto – elenca Bechelli – sistemi di intrusion detection / prevention, Web Application Firewall (appliance e software), soluzioni custom sviluppate in proprio”.
 Figura 2 – Le contromisure adottate dagli istituti finanziari contro le minacce alle applicazioni dei siti web aziendaliFonte: Web survey Finance: criticità e aspettative tra security e web experience – ZeroUno – maggio – giugno 2016 – 30 rispondenti, di cui 23 del segmento Finance |
Ma la soluzione tout-court non basta. “Oggi – afferma Bechelli – sono fondamentali gli aggiornamenti dei sistemi di protezione contro gli attacchi zero-day o sconosciuti: tuttavia, solo il 39% dei rispondenti ha funzionalità di update continuativo o di collegamento a servizi di cloud intelligence; il 35% invece si aggiorna con cadenza quotidiana e il 26% non lo fa mai”.
 Figura 3 – Frequenza di aggiornamento delle soluzioni contro gli attacchi alle web applicationFonte: Web survey Finance: criticità e aspettative tra security e web experience – ZeroUno – maggio – giugno 2016 – 30 rispondenti, di cui 23 del segmento Finance |
La capacità di difesa delle aziende, insomma, è ancora poco efficace. Dai dati Clusit, risulta che le aziende impiegano mediamente 200 giorni prima di scoprire un attacco Apt – Advanced Persistent Threat (il virus risiede nei sistemi informativi aziendali, rimanendo nascosto, e sottrae informazioni preziose). La metà degli attacchi DDoS, invece, dura meno di 4 ore e il 15% meno di 8, ma negli altri casi i tempi si dilatano, fino a un massimo di 14 ore. “Le misure preventive più accreditate [secondo la survey ZeroUno, ndr] – illustra Bechelli – sono le soluzioni gestite da Isp o carrier (35%), a pari merito le tecnologie on-premise o cloud (29%). Il 68% delle aziende utilizza già prodotti specifici per gli attacchi DDoS, tuttavia solo il 36% è in grado di attivare risposte automatizzate e immediate; il 28% ha pianificato l’adozione di soluzioni ad hoc nel 2016/2017, mentre il 4% non ha intenzione di implementarne”.
 Figura 4 – Tipologie di soluzioni che offrono maggiori garanzie di sicurezza nei confronti degli attacchi DDoSFonte: Web survey Finance: criticità e aspettative tra security e web experience – ZeroUno – maggio – giugno 2016 – 30 rispondenti, di cui 23 del segmento Finance |
Web experience e investimenti in sicurezza
Le problematiche di sicurezza hanno riscontro diretto sulla web experience (fruizione di siti Internet e app-mobili), come fattore competitivo che impatta significativamente su customer satisfaction, brand image, numero di transazioni e ricavi. Quanto può costare a un’azienda un downtime di 4-8 ore? Per il 24% del campione, meno di 10mila euro, ma il 38% dichiara un valore superiore a 200mila. Sono dinamiche talvolta letali al business, per cui le aziende stanno maturando consapevolezza e correndo ai ripari.
 Figura 5 – Gli impatti di una user experience scadente nell’erogazione di siti web e app mobileFonte: Web survey Finance: criticità e aspettative tra security e web experience – ZeroUno – maggio – giugno 2016 – 30 rispondenti, di cui 23 del segmento Finance |
“La spesa in tecnologie di sicurezza – nota Bechelli – è in crescita rispetto ai budget It nel 55% dei casi, altrimenti si mantiene stabile. Nel 46% delle aziende incide sugli investimenti informativi del 5-10%, nel 15% del 10-25%”. Nel 2017 e 2018, il 67% e il 54% delle aziende prevedono gli investimenti in sicurezza in forte crescita o comunque in aumento.
Un driver di spinta è rappresentato dalla compliance. L’influenza delle normative generiche sulla security aziendale viene ritenuta elevata dal 37% degli istituti finanziari e media dal 47; le normative di settore sono considerate più critiche: con alto impatto per il 57% del campione e medio per il 40%.
La conformità è la seconda voce tra gli investimenti preventivati in ambito sicurezza, preceduta dalla Network Security e seguita da Governance/Audit, Mobile Security, Identity Management, Cloud Security.
 Figura 6 – Priorità e intensità degli investimenti per la sicurezza IctFonte: Web survey Finance: criticità e aspettative tra security e web experience – ZeroUno – maggio – giugno 2016 – 30 rispondenti, di cui 23 del segmento Finance |
Se l’impegno verso l’azienda sicura è evidente, permangono le criticità. “I freni all’azienda sicura – conclude Bechelli – sono da ricercare in: crescente sofisticazione delle minacce, contesto normativo complicato, complesso modello di business organizzativo, scarsa considerazione della problematica, mancanza di budget. L’assenza di una strategia per la sicurezza delle informazioni, la scarsa possibilità per l’It di incidere sulle strategie aziendali e la mancanza di supporto alla gestione esecutiva sono considerate barriere più marginali e questo è un fattore positivo”.
Scarica qui i risultati completi della survey
