La reazione a un attacco alla sicurezza informatica in un’azienda è ancora troppo spesso una caccia al colpevole che viene condotta o guardando all’infrastruttura tecnologica o, ancora meglio, a una persona, nella fattispecie al responsabile dei sistemi informativi oppure, se esiste, al Ciso Chief information security officer.
È uno dei risultati emersi nel Global Enterprise Security Survey, il sondaggio annuale realizzato dall’istituto di ricerca di mercato Loudhouse per conto di Fortinet (società attiva nell’offerta di soluzioni per la protezione avanzata e continua da cyber attacchi) su 16 Paesi internazionali tra cui l’Italia. Dall’indagine, che ha coinvolto quasi 2mila IT decision maker, è emerso che in generale la cyber security non è una priorità per il management aziendale. E questo vale anche per le aziende italiane.
Rispetto all’anno scorso, si sono rilevate diverse conferme, sia in generale, su tutto il campione, sia per quanto riguarda il raffronto tra l’Italia e il resto dei Paesi: per tutti, per esempio, la principale causa di problemi è identificata in malware e ransomware.
Who's Who
Filippo Monticelli
È interessante, d’altra parte, notare che sembrerebbe che in Italia siano meno frequenti della media i data breach: “Riteniamo purtroppo – ha commentato Filippo Monticelli, Sr. regional director Fortinet Italia (per approfondire l’offerta tecnologica dell’azienda vedi Fortinet Security Fabric: segmentazione, intelligence, policy universali) - che questo risultato possa risultare falsato per due ragioni: da un lato perché ancora non vi è obbligo di disclosure (ossia di notifica dell’avvenuto incidente, cosa che invece verrà introdotta con il Gdpr a partire dal maggio 2018) e dall’altro proprio per una minor capacità di individuare il data breach stesso, si tratta infatti di un’operazione molto delicata e approfondita che non sempre le aziende sono in grado di fare”.
A questo proposito, uno dei temi che continuano a essere centrali dal punto di vista della sicurezza informatica aziendale è rappresentato dalla formazione è molto diffusa la volontà di preparare, certificare i propri addetti ma non va di pari passo con le intenzioni di spesa…
Le principali cause di incidenti informatici – Fonte: Global Enterprise Security Survey, realizzato da Loudhouse per conto di Fortinet
Più in generale gli investimenti in security vanno aumentando in tutte le aree raggiunte dal sondaggio, basti pensare che questi valgono mediamente il 10% della spesa IT globale, e tale spesa, per il 72% degli intervistati, è in aumento rispetto all’anno scorso.
“L’aumento della spesa in security rispetto al budget IT c’è stato anche in Italia – ha puntualizzato Monticelli – ma purtroppo ritengo che il budget destinato dalle imprese all’IT, nel suo complesso, non sia aumentato. Inoltre, dove si fanno investimenti in sicurezza, diversamente da quanto avviene all’estero soprattutto nei paesi anglosassoni, si tende a essere conservativi, cioè a manutenere l’esistente o eventualmente a fare alcune integrazioni (penso per esempio a piattaforme Atp - Advanced Threat Protection dove già si ha sicurezza perimetrale) e non a compiere grandi cambiamenti”.
Quale percezione della sicurezza IT da parte dei CdA e i driver di investimento
Punto cruciale dell’indagine è capire qual è la percezione dei board rispetto agli attacchi informatici e alle contromisure da prendere; da ciò si deduce infatti il coinvolgimento dell’intera azienda rispetto a questi temi.
Ben il 44% degli intervistati italiani ritiene che la sicurezza informatica non rappresenti ancora una priorità assoluta per il Consiglio di Amministrazione. Oltre a non esserci un adeguato livello di attenzione anche da noi in Italia, come si diceva all’inizio, in caso di attacco, piuttosto che fare un’analisi a largo spettro, si reagisce assegnando responsabilità e davvero poco spesso rivedendo il budget.
A questo punto, è utile capire quali sono i driver che invece sollecitano lo stanziamento di investimenti e la ricerca ne individua principalmente tre.
- Prima di tutto il verificarsi di incidenti: negli ultimi due anni l’84% del campione ha subìto data breach e, per esempio, il 48% degli intervistati ha dichiarato di aver visto aumentare il focus sulla sicurezza IT nell’azienda nel suo complesso dopo WannaCry .
- Un altro fattore importante è l’attenzione alle normative (33%) e il timore di sanzioni.
- Infine, anche la migrazione verso il cloud rinnova l’attualità del tema sicurezza: l’83% degli interpellati afferma che la cloud security sarà sempre più una priorità e il 48% ha già in programma investimenti in questo senso per i prossimi 12 mesi.
Italia, attenzione ai rischi IoT
Il sondaggio rileva una serie di impegni presi dai decision maker IT per far fronte alle sfide in ambito sicurezza informatica. Prima di tutto sul fronte delle risorse umane: in primo luogo ricercando competenze nuove per il dipartimento IT in modo che sia in grado di rispondere alle minacce più evolute e poi sollecitando l’attenzione e il coinvolgimento di tutte le persone che entrano in contatto con i sistemi IT per far crescere la consapevolezza sui pericoli esistenti.
È importante poi notare che il 76% del campione complessivo vede quello verso la sicurezza IT come un viaggio infinito e questo implica un’attenzione continua, così come una razionalizzazione degli strumenti che devono evolversi per rispondere ad attacchi sempre più complessi. “Non si può adottare la logica del “cerotto” – ha dichiarato Cesare Radaelli, Sr director channel account Fortinet Italia -. In alcune aziende esistono tante console di sicurezza diverse che non si parlano e ovviamente non possono rispondere velocemente alle minacce”.
In Italia è emersa una minore sensibilità rispetto agli altri Paesi in riferimento ai rischi legati all’IoT . Se ancora al momento i progetti Internet of Things non sono tra i bersagli primari degli hacker non possiamo infatti nasconderci che con la loro diffusione non possano diventarlo, anzi, è molto probabile.