Dalla ricerca promossa e realizzata da NetConsulting cube in collaborazione con EUCACS emergono Tlc, Banche e Utility i settori più maturi e un ritardo di PA e Sanità. Cresce l’esposizione di sistemi SCADA e IoT, non ancora adeguatamente protetti. Critico il gap di risorse e competenze.
Telecomunicazioni, Utility e Banche si confermano i settori più avanzati sia dal punto di vista organizzativo sia nell’adozione di soluzioni e strumenti per la difesa e la gestione della Cybersecurity. Critico invece il livello di maturità dei comparti PA locale e Sanità, che emergono come i settori con maggiore gap in termini di consapevolezza e di adozione di un modello organizzativo adeguato nel contrastare le minacce crescenti in ambito sicurezza informatica.
E’ quanto emerge dai risultati della seconda edizione del “Barometro Cybersecurity”, promosso e realizzato da NetConsulting cube e EUCACS, ideato d’intesa con InTheCyber e sponsorizzato da Oracle e CA Technologies.
Obiettivo del Barometro Cybersecurity è fornire un quadro esaustivo dell’attuale situazione delle aziende italiane in termini di politiche, strategie, modelli e strumenti relativi alla Cybersecurity e costruire un Cybersecurity Maturity Model su cui le aziende che partecipano alla rilevazione si posizionano. I temi chiave del Barometro sono stati definiti in collaborazione con un Advisory Board composto da CSO e CISO di grandi aziende appartenenti a diversi settori. Alla ricerca hanno partecipato Chief Security Officer, Chief Information Security Officer, CIO e Responsabili IT di 72 aziende italiane, Enti Pubblici locali e istituti sanitari pubblici e privati accreditati.
Il mercato della Cybersecurity cresce a ritmi superiori a quelli del mercato digitale con una spesa che si prevede superare 1 miliardo di euro nel 2018 e una crescita del 13,3% rispetto allo scorso anno, dichiara Annamaria Di Ruscio, Amministratore Delegato di NetConsulting cube.
“A confermare la dinamica positiva del mercato è il generale incremento dell’importanza attribuita alla tematica Cybersecurity da parte del Top Management, con una crescita del budget anche per il 2019: molto ha contribuito l’entrata in vigore della GDPR” commenta Rossella Macinante, Practice Leader di NetConsulting cube, che ha coordinato la ricerca insieme al team di EUCACS.
IoT, oggetti connessi, cloud e dispositivi mobile stanno assumendo un ruolo significativo nel veicolare minacce cyber. In particolare, dalla survey emerge come gli ambienti IoT e SCADA siano particolarmente esposti al rischio di cyber attacchi, considerata anche l’elevata dispersione sul territorio, e ad oggi non ancora adeguatamente protetti: a fronte di una crescita esponenziale dei dispositivi connessi e delle tecnologie di Internet of Things utilizzati come vettori di infezione (+19,4% di organizzazioni che lo segnalano rispetto al 2017), solo il 22% dei rispondenti richiede ai propri fornitori logiche di IoT security by design. Inoltre, solo il 16% delle aziende intervistate conduce attività di Penetration Test e Vulnerability Assessment sui sistemi di Internet of Things.
Ampliando il perimetro, il concetto di security by design integrata fin dall’origine nello sviluppo delle applicazioni rappresenta ancora una pratica poco diffusa, adottata solamente dal 35% degli intervistati, aumentando la vulnerabilità del software.
“Oggi, la sicurezza è più di una semplice sfida per il business delle aziende. È anche un’opportunità per conquistare la fedeltà dei clienti ed aumentare la produttività. La ‘Security by Design’ è un prerequisito obbligatorio per la sicurezza del macrocosmo IT delle aziende” dichiara Danilo Allocca, Account Executive Security di CA Technologies.
In molti casi prevale un approccio ancora meramente difensivo non più sufficiente in un contesto caratterizzato da un costante ampliamento del perimetro esposto a vulnerabilità: solo il 26% delle organizzazioni intervistate adotta procedure codificate tra le contromisure adottate in caso di attacco cyber, limitandosi ad analisi forensic ed all’adozione di patch limitate all’ambiente oggetto dell’attacco.
Il Cloud Computing presenta una penetrazione in continua crescita, con il 72% dei rispondenti che afferma di utilizzare servizi in Cloud Computing. Sempre dall’analisi, una potenziale vulnerabilità è data dalla presenza di Shadow Cloud: il 43% delle organizzazioni che hanno effettuato analisi specifiche ha individuato la presenza di software e applicazioni non direttamente monitorate dalla funzione ICT, potenzialmente a rischio.
“Identificate le applicazioni cloud non gestite dall’ IT, è necessario fare un passo avanti. I Cloud Provider hanno capacità di investimento sulla sicurezza quasi sempre superiori alla media dei loro clienti, ma la sicurezza del cloud è una responsabilità condivisa tra Cliente e Fornitore del servizio. I Clienti devono estendere i loro modelli di sicurezza introducendo nuove tecnologie di monitoraggio e controllo dei servizi Cloud, e Oracle in questo senso può dare una grossa mano” commenta Angelo Bosis, Cloud Platform Solution Engineering Director di Oracle Italia.
Al crescere delle minacce, numerose sono anche le complessità rilevate a livello di governance e struttura. La mancanza di risorse (87%) e skill (61%) rientra tra le principali criticità in ambito Cybersecurity per la maggior parte delle aziende intervistate: tuttavia circa la metà e aziende ha un piano di incremento delle risorse dedicate alla Cybersecurity per il 2019. Security analyst, risk analyst, threat intelligence analyst e network security specialist risultano i profili più ricercati.
“ È evidente l’urgenza di individuare assieme alle aziende percorsi formativi ad hoc per questo tipo di nuove figure denominabili “operatori cyber”” sottolinea il prof. Umberto Gori, Direttore Scientifico di EUCACS.
Sul fronte delle tecnologie innovative, cresce la diffusione di AI e Machine Learning: più della metà delle aziende intervistate prevede di introdurre soluzioni Machine Learning based tra il 2018 e il 2019, mentre sono già in uso presso il 17% del campione. Da sottolineare, inoltre, la presenza di team e strumenti di threat intelligence per rafforzare la difesa dagli attacchi informatici, internamente alla struttura organizzativa (11%), o rivolgendosi a società di consulenza esterne (27%)
Particolarmente critico il fronte della compliance normativa: a poco meno di sei mesi dalla piena entrata in vigore del GDPR circa un terzo delle aziende del campione non ha ancora completato l’intero spettro delle attività di adeguamento. In particolare, le procedure per la rilevazione del trasferimento di dati personali verso fornitori e terze parti e di protezione dei dati personali, come l’adozione di tecnologie di crittografia, sono ancora in fase iniziale rispettivamente nel 31% e nel 21% delle realtà intervistate. Le principali criticità indicate dai rispondenti nell’adeguare la propria organizzazione sono, infatti, la mappatura dei dati (48%) e le complessità nell’adeguamento delle applicazioni esistenti (47%).
“Le infrastrutture IT/OT delle aziende, assieme alla componente umana, devono essere messe continuamente alla prova in un processo virtuoso di Test & Enhance. Basta un solo punto debole di qualsiasi tipo trascurato per rendere possibile il successo di un attacco” sottolinea Lino Buono, Technical Coordinator & Head R&D Lab di InTheCyber.
Infine, dalla mappatura del Cybersecurity Model sono stati identificati quattro principali cluster di aziende, analizzando struttura organizzativa, governance e processi di Cybersecurity, insieme con la presenza di soluzioni tecnologiche per difesa, detection e risposta agli attacchi informatici.
“Circa la metà delle aziende si colloca nei cluster a maggior rischio, ancora sotto la media nella definizione sia di una strategia di Cybersecurity a trecentossessanta gradi sia di adeguate misure di prevenzione e difesa. Il 39% si posiziona invece nel raggruppamento Technology to improve, dove ad una buona maturità dal punto di vista della governance si collega la necessità di ulteriori investimenti in tecnologia, mentre solo il 10% si qualifica come Cybersecurity Mature” commenta Alessandro Croci, Senior Analyst di NetConsulting cube.
“La carenza di competenze in questo ambito è una criticità evidenziata da quasi tutte le aziende intervistate, con un gap che continua a persistere e a cui occorre porre rimedio, tenuto conto della crescente minaccia a cui organizzazioni pubbliche e private risultano esposte”, sottolinea Rossella Macinante.
“Deve crescere la consapevolezza della necessità di un approccio olistico alla minaccia Cyber della singola azienda ed una cultura collaborativa di Information Sharing per permettere la Difesa complessiva delle aziende stesse nel loro complesso e del Sistema Paese” conclude Paolo Lezzi, Vice Presidente Esecutivo di EUCACS.