Le aziende stanno cercando di acquisire e potenziare le competenze specializzate in sicurezza e privacy. Il 41% delle grandi imprese analizzate prevede un aumento dell’organico dedicato alla gestione della security, il 2% una diminuzione, il resto lo manterrà invariato. Sul fronte privacy, invece, il 38% inserirà nuovi profili e soltanto l’1% li ridurrà. È quanto emerge dall’Osservatorio Information Security & Privacy del Politecnico di Milano del quale Giorgia Dragoni, Ricercatrice Senior dell’Osservatorio, ci illustra in questa videointervista alcuni trend.
Data Protection Officer e Chief Information Security Officer: diffusione nelle aziende
Il 2018 ha registrato un boom del Data Protection Officer (DPO): questo profilo è stato formalizzato nel 65% delle imprese ed è stato inserito informalmente nel 6%, con una crescita del 46% rispetto al 2017, mentre è calata di conseguenza la percentuale di aziende che ha intenzione di introdurlo in futuro (dal 57% al 5%) e delle imprese che non ne prevedono l’introduzione (dal 15% a 6%); il 18% delega queste mansioni a una figura esterna.
Meno rapida la diffusione del Chief Information Security Officer (CISO), presente formalmente nel 47% delle aziende, informalmente nel 12% e di prossima introduzione nel 2% del campione. Nel 37% delle aziende non esiste una figura dedicata e sono il Chief Information Officer (30%) o funzioni diverse dall’ICT (7%) a occuparsi del presidio della cyber security, mentre l’8% si affida a una figura che si occupa sia di sicurezza fisica sia di sicurezza logica. Anche nelle aziende che hanno inserito il CISO, però, la situazione non è rosea: solo nell’8% dei casi il CISO riporta direttamente al Board aziendale, nel 60% fa parte della direzione ICT e riporta al CIO, nel 10% il CISO riporta ad una funzione Security Corporate (che si occupa di sicurezza sia fisica sia logica), nel 3% alla funzione Compliance e Legal, nel 2% Risk Management oppure Operations.
Il fattore umano: l’anello debole nella catena della security
Il comportamento umano continua a rappresentare un elemento di rischio persistente, che costituisce per le aziende la principale vulnerabilità in termini di sicurezza. È quanto emerge dalla Ricerca condotta nel 2018 dall’Osservatorio: tra le diverse tipologie di vulnerabilità che hanno aumentato l’esposizione al rischio delle organizzazioni intervistate nel corso degli ultimi 12 mesi, emergono fattori legati alla tecnologia, come la presenza di sistemi IT obsoleti o eterogenei o aggiornamenti e patch non effettuati con regolarità, ma sono la distrazione e la scarsa consapevolezza dei dipendenti a rappresentare ancora una volta la criticità prevalente per l’82% delle aziende.
Oltre a investimenti in tecnologie di sicurezza orientate a proteggere l’organizzazione da attacchi provenienti dall’esterno, è quindi fondamentale non sottovalutare i rischi provenienti dall’interno dell’organizzazione: i cybercriminali spesso non utilizzano sistemi tecnologici particolarmente sofisticati, ma sfruttano aspetti del comportamento umano, come la poca attenzione o la mancanza di coscienza rispetto ai rischi, per fare breccia nei sistemi aziendali.
@RIPRODUZIONE RISERVATA