Cyber-security-e-risk-management-nelle-imprese

Transcript

Il presente volume viene pubblicato con licenza Creative Commons - Attribuzione 3.0
Italia (CCBY 3.0 IT)
Tu sei libero di riprodurre, distribuire, comunicare al pubblico, esporre in pubblico,
rappresentare, eseguire e recitare quest’opera, di modificare quest’opera, di usare
quest’opera per fini commerciali alle seguenti condizioni:
Attribuzione — Devi attribuire la paternità dell’opera nei modi indicati dall’autore o
da chi ti ha dato l’opera in licenza e in modo tale da non suggerire che essi avallino te
o il modo in cui tu usi l’opera. Prendendo atto che: Rinuncia — E’ possibile rinunciare a
qualunque delle condizioni sopra descritte se ottieni l’autorizzazione dal detentore dei
diritti. Pubblico Dominio — Nel caso in cui l’opera o qualunque delle sue componenti
siano nel pubblico dominio secondo la legge vigente, tale condizione non è in alcun
modo modificata dalla licenza. Altri Diritti — La licenza non ha effetto in nessun modo
sui seguenti diritti: Le eccezioni, libere utilizzazioni e le altre utilizzazioni consentite dalla legge sul diritto d’autore; I diritti morali dell’autore; Diritti che altre persone possono
avere sia sull’opera stessa che su come l’opera viene utilizzata, come il diritto all’immagine o alla tutela dei dati personali. Nota — Ogni volta che usi o distribuisci quest’opera, devi farlo secondo i termini di questa licenza, che va comunicata con chiarezza.
Questo è un riassunto in linguaggio accessibile a tutti del Codice Legale (la licenza
integrale) è online all’indirizzo Internet
http://creativecommons.org/licenses/by/3.0/it/
© 2015 NEXTVALUE
All Rights Reserved.Reproduction and distribution of this publication in any form without
prior written permission is forbidden. The information contained herein has been obtained from sources believed to be reliable. NEXTVALUE disclaims all warranties as to the
accuracy, completeness or adequacy of such information. Although NEXTVALUE’s research may discuss legal issues related to the information technology business, NEXTVALUE
does not provide legal advice or services and its research should not be construed or
used as such. NEXTVALUE shall have no liability for errors, omissions or inadequacies in
the information contained herein or for interpretations thereof. The opinions expressed
herein are subject to change without notice.
SOMMARIO
Premessa
5
CAPITOLO 1
La sicurezza digitale in un mondo interconnesso
Internet of Things: più connessi, più esposti
Shadow IT e controllo degli accessi: il lato oscuro dell’IT in azienda
Non si è mai del tutto sicuri: i confini allargati della sicurezza aziendale
7
9
9
10
CAPITOLO 2
Information Security: la survey in Italia
Appendice – Composizione del panel e metodologia utilizzata
12
19
CAPITOLO 3
What’s next
22
La risposta dei sistemi-paese: la necessità di cyber strategie a livello internazionale
22
L’IT Security come componente del rischio aziendale complessivo
24
What’s next
27
INDICE
Indice delle Figure e Tabelle
CAPITOLO 1
Figura 1
Esempi di cyber attack nel 2014
8
CAPITOLO 2
Figura 2
Misure di sicurezza preventive presenti in azienda
13
Figura 3
Misure di protezione della sicurezza presenti in azienda
14
Figura 4
Misure di rilevazione di attacchi informatici presenti in azienda
15
Figura 5
Misure di sicurezza previste in azienda in risposta ad eventuali attacchi informatici
16
Figura 6
Percentuale ownership sistemi di sicurezza
17
Figura 7
Numero di cyberattacchi rilevati in a azienda negli ultimi 12 mesi
18
Figura 8
Composizione del panel per ruolo dei rispondenti
19
Figura 9
Composizione del panel per settore di appartenenza dell’impresa di riferimento
20
Figura 10
Budget IT a disposizione dell’azienda (milioni di Euro)
20
CAPITOLO 3
Tabella 1
Lo spettro dei possibili interventi governativi a livello nazionale ed internazionale
22
Tabella 2
Una visione “olistica” di Information Security Strategy all’interno dell’azienda
26
PREMESSA
Premessa di
Alfredo Gatti
Alfredo Gatti
Managing Partner NEXTVALUE
Ormai tutti facciamo acquisti online,
lavoriamo online, ci divertiamo online,
viviamo online. Le nostre vite dipendono
sempre di più dai servizi digitali, ma
anche dal bisogno di proteggere
l’informazione da malintenzionati o da
usi impropri.
La cyber security è spesso nelle notizie del
giorno. Tutti acquisiamo dimestichezza
con i vari tipi di malware e con i concetti
quali network security, crittografia,
furto di identità, risk management…
Migliorare le nostre capacità di difesa
può contribuire a proteggere la nostra
vita digitale, ma ancor più importante è
che lo facciano i governi e le imprese
che ci offrono i loro prodotti e servizi.
I risultati della nostra survey di
quest’anno confermano che CSO e
CISO, pur alle prese con sempre nuove
criticità, spingono la cyber security come
practice di management e coinvolgono
maggiormente sul tema i loro primi livelli
in azienda. Il gap da colmare è proprio
il coinvolgimento di tutti gli stakeholder
e far sì che la cyber security sia una
responsabilità più condivisa, mentre
l’impresa procede nel proprio sviluppo
e nei propri programmi di innovazione.
Anzi, la sicurezza stessa è innovazione
e non battaglia di retroguardia e
il commitment della prima linea di
management è indispensabile.
Cosicché la cyber security entra in uno
scenario più evoluto, in cui è il business
stesso che richiede cambiamenti, perché
nessuna organizzazione può ritenersi al
sicuro da aggressioni. Come mitigare il
NEXTVALUE CUSTOM INSIGHTS 2015
CYBER SECURITY E RISK MANAGEMENT NELLE IMPRESE ITALIANE
5
NEXTVALUE COSTUM INSIGHTS 2015
rischio deve essere sempre più una “idea
fissa”, anche se la nostra sensazione è
che siano ancora in molti a confidare,
forse troppo, nelle capacità di difesa
delle proprie organizzazioni o, peggio,
nelle capacità di partner di venire in
loro soccorso all’ultimo momento.
In questo scenario l’industry della
sicurezza funge da spartiacque. Da
un lato strumenti sempre più evoluti
ed efficaci, dall’altro practice indotte
dalla maturazione della cultura della
sicurezza e dal commitment aziendale.
Unire maggiormente le forze può
riequilibrare una situazione oggi ancora
troppo sfavorevole alle imprese. Sono
sicuro che i risultati del nostro panel
possano essere utili per favorire un
confronto fra tutti coloro che oggi si
impegnano in questa difficile battaglia.
Ringrazio Trend Micro ed il suo leader
Gastone Nencini per aver reso possibile
questa nostra iniziativa e averla
supportata con tanto entusiasmo.
Buona lettura e buon lavoro.
6
CAPITOLO 1
La sicurezza digitale in
un mondo interconnesso
Cyberspace is becoming the dominant platform
for life in the 21st century
Ben Hammersley, Wired contributor UK
In un mondo sempre più interconnesso,
la sicurezza informatica continua ad
essere un punto focale nel panorama
dell’ICT.
E’ innegabile che la trasformazione
digitale
abbia
profondamente
aumentato le possibilità di innovazione
e miglioramento delle attività di
business, ma come conseguenza
ha anche aumentato in maniera
esponenziale il rischio di incorrere in
minacce alla sicurezza e riservatezza
dei dati aziendali. Dai Big Data agli
analytics, dal cloud computing alle
piattaforma di CRM, ai sistemi ERP
alle grandi potenzialità dell’Internet of
Things, la quantità e il valore di business
delle informazioni che le organizzazioni
si trovano ormai a “dover gestire” e
proteggere è ormai enorme e non può
che continuare a crescere.
Al contempo, la disruption e
l’appropriazione di tali informazioni
diventa sempre più appetibile per
individui, organizzazioni rivali o
addirittura intere nazioni, portando
l’attenzione sul livello di sicurezza
dell’informazione totalmente su un’altra
scala. Le motivazioni possono variare
dalla “semplice “variabile economica,
alle azioni di contrasto della concorrenza,
fino a motivazioni puramente “etiche” o i
ordine ideologico-politico.
Secondo una ricerca di BCG, il numero
dei principali cybertattack riconosciuti è
cresciuto del 126% dal 2013 al 2014.
In particolare, proprio i device mobili
così comuni come smartphone e tablet si
stanno trasformando nel “nuovo anello
debole” della sicurezza informatica,
e nel tentativo di proteggersi molti
utenti Android sono caduti in inganno
scaricando false app che promettevano
antivirus, mentre infettavano il computer
stesso: è il caso di “Virus Shield”,
un’applicazione che ha ricevuto più
di 10.000 download da Google Play,
salita subito nelle classifica Top Paid
nell’arco di una settimana.
Non solo, dagli online retailer come
eBay, ai social network alle catene
di ristoranti, fino ai nuovi device IoT
connessi a reti WiFi, diventa sempre
più vasta la gamma di possibilità di
rischi ed attacchi disponibili [Figura 1].
Gli attacchi mirati avvenuti in Cina e in
7
FIGURA 1 ESEMPI DI CYBER ATTACK NEL 2014
Fonte: NEXTVALUE® 2015 da fonti varie
8
Russia nel 2014 hanno dimostrato come
in futuro molte organizzazioni potranno
essere attaccate con simili metodologie.
Anche una non così imprevedibile
collaborazione tra hacker, basti
pensare al movimento di Anonymous,
può indicare un miglioramento degli
strumenti a disposizione e in un loro
maggior successo, il cui focus verterebbe
ovviamente sulle aziende più famose.
In un mondo ormai profondamente
interconnesso, tendono ad aumentare
anche i possibili bersagli da parte dei
criminali informatici: se siamo ormai
tristemente abituati a considerare
“normale” i rischi della navigazione su
web, prestiamo forse meno attenzione
ai rischi nell’utilizzo di Darknet, VPN la
cui esistenza non è conosciuta, utilizzate
frequentemente per lo scambio di
file peer-to peer. Data la naturale
“porosità” di Internet è molto difficile
individuare queste reti, rendendole
efficaci a coprire identità criminali e le
loro attività.
Anche la diffusione dei sistemi di
pagamento online rende sempre
più appetibile colpire tali metodi
principalmente
per
motivazioni
economiche, prendendo sempre più di
mira in particolar modo gli utenti che vi
accedono da mobile.
L’attenzione che andrebbe posta
riguardo il tema dell’Information
Security riguarda inoltre anche le
organizzazioni che utilizzano i computer
per monitorare, muovere e controllare
macchinari, attrezzature o linee di
produzione. Un attacco mirato ad
un sistema “cyberfisico” può infatti
comportare un serie di implicazioni in
ambito Operational Health, Safety and
Environment per un numero sempre
crescente di imprese.
Internet of Things: più connessi, più
esposti
Il mercato dei device connessi ad una
rete Internet, dalle fotocamere alle
Smart TV, sta mostrando un trend
di crescita costante, tanto che una
previsione di Business Insider stima il suo
valore aggiunto per l’economia globale
attorno agli 1.7 trilioni di dollari per il
2019.
I benefici dell’interconnessione tra
mondo virtuale e mondo fisico sono
molteplici: dal miglioramento della
vita quotidiana dell’utente finale
(dal frigorifero che ci informa dei
cibi in scadenza, al progetto pilota
dell’automobile di Google con pilota
automatico), alla crescita dell’indotto
per tutte le aziende coinvolte nella
creazione di tali dispositivi, creando
nuove possibilità di business in un
mercato tendenzialmente saturo.
Tuttavia devono essere considerati
anche i rischi insiti nel connettere
un numero crescente di dispositivi
ad un router wifi, tendenzialmente
vulnerabile. In caso di attacchi ai router
infatti il funzionamento stesso dei
device IoT può essere compromesso: la
nostra automobile potrebbe decidere
di non avviare il motore e lasciarci a
piedi per andare al lavoro la mattina,
perché la casa automobilistica che la
produce è stata vittima di un attacco
informatico. Questo potrebbe essere il
caso di attacchi mirati di tipo etico o
reputazionale.
Il rischio primario risiede però nel furto
delle enormi quantità di dati generati
dagli oggetti e sensori dotati di
connessione, dati personali degli utenti
che le aziende creatrici dei dispositivi
dovranno inoltre immagazzinare e
proteggere. Il valore dei dati sensibili
generati può variare da informazioni
riguardanti la salute personale, fino alle
abitudini ed allo stile di vita di migliaia
di persone. Non è quindi difficile
immaginare come il furto di questi dati
possa consistere in un “discreto” valore
monetario per i criminali informatici che
vorranno perpetrare tali attacchi.
Il disegno di una strategia di gestione di
questi rischi in maniera preventiva dovrà
essere considerata una componente
essenziale per le organizzazione
coinvolte, dal momento che la domanda
non è se, ma quando verranno attaccate.
Shadow IT e controllo degli accessi: il
lato oscuro dell’IT in azienda
L’utilizzo di strumenti tecnologici
all’interno delle organizzazioni, come
la mobility o il cloud computing,
permettono di aumentare la flessibilità e
la produttività del lavoro. Al contempo,
l’estensione dei confini “virtuali”
dell’azienda implica anche un aumento
delle probabilità di incorrere in azioni
di criminalità informatica.
I dispositivi aziendali ed i programmi
installati dall’IT sono generalmente
attentamente controllati, ma che cosa
succede quando l’utente finale installa
software o componenti non autorizzate
dalla propria azienda? Si tratta del
cosiddetto Shadow IT, l’insieme di
applicazioni che il dipartimento IT di
un organizzazione non solo non ha
approvato, ma di cui addirittura a volte
non conosce nemmeno l’esistenza.
Tali soluzioni spaziano dai servizi in
SaaS all’installazione di software per
il personal cloud computing, o anche
l’utilizzo di dispositivi personali (BYOD)
9
10
non riconosciuti dalla policy aziendale.
Più propriamente definiti come
greynet sono invece applicazioni come
Gmail, quando utilizzata per la posta
aziendale, o l’utilizzo di applicazioni
come Skype.
L’IT “ombra” introduce rilevanti
problemi a livello di sicurezza quando
l’hardware o il software non supportati
non sono soggetti alle stesse stringenti
misure adottate all’interno delle
organizzazioni. In questo caso infatti
i cyber criminali possono avere gioco
facile nell’accedere a informazioni
e contenuti sensibili dell’azienda,
nonostante tutti gli sforzi da essa
sostenuti.
L’utilizzo di piattaforme free di cloud
computing introduce inoltre anche dei
problemi di sicurezza e compliance,
nel caso in cui vi vengano salvate
anche informazioni aziendali. Anche
per le organizzazioni in cui l’Internet
Access Managment (IAM) è ormai una
practice assodata, l’introduzione del
cloud computing ha aggiunto nuove
complicazioni nel controllo e nella
gestione degli accessi: un grande
pericolo è dato infatti dalla difficoltà
di impedire ai propri utenti di utilizzare
delle applicazioni cloud senza che
i dipartimenti IT o di sicurezza e
compliance ne siano a conoscenza. Il
rischio principale è rappresentato anche
dalla possibilità che utenti che non fanno
più parte dell’organizzazione abbiano
accesso a informazioni sensibili e di
valore dell’azienda anche al termine
del loro periodo di collaborazione.
Anche senza mala fede da parte degli
ex o attuali dipendenti, le informazioni
di cui sono rimasti in possesso possono
essere comunque “trafugate” da
cybercriminali, senza dover affrontare
più complesse barriere IT utilizzati
dalle organizzazioni.
Un’azienda
può
quindi
essere
minacciata senza nemmeno essere a
conoscenza del pericolo a cui i propri
componenti, a volte intere business unit,
la sottopongono.
Nonostante la quantità e qualità di
strumenti, tecnologie e prassi per
migliorare il grado di sicurezza
dell’informazione
aziendale,
la
componente umana riveste ancora una
grande importanza. Tutti coloro che
utilizzano asset aziendali dovrebbero
fornire, con la propria consapevolezza,
la prima linea di difesa contro gli
attacchi informatici, non una fonte
di ulteriore minacce alla sicurezza
aziendale.
Un metodo per fronteggiare il Shadow
IT consiste nell’incrementare la security
awareness aziendale, sensibilizzando
il business riguardo i rischi, spesso
inconsapevoli, a cui si stanno
sottoponendo le informazioni personali
e della propria organizzazione di
appartenenza. Solo in questo modo si
potrà stimolare la reale conformità a
nuove policy introdotte in azienda.
Non si è mai del tutto sicuri: i confini
allargati della sicurezza aziendale
Alcune organizzazioni ritengono di
aver raggiunto un adeguato livello di
sicurezza quando le proprie misure di
riduzione dei rischi, a livello enterprise
e per ogni settore interno, vengono
considerate accettabili. Ciò non è così
vero: gli attaccanti informatici hanno
ormai compreso come, per colpire
una determinata organizzazione, sia
sufficiente prendere in considerazione
l’intera catena del valore a cui essa
appartiene e colpire gli “anelli deboli”
della stessa. Piuttosto che attaccare
le reti o i sistemi ben protetti di
un’impresa, i cyber criminali trovano
invece gioco facile nel colpire le reti
o i sistemi di quelle imprese a monte
o a valle della supply chain che
possiedono livelli inferiori di difesa,
impadronendosi di informazioni della
stessa organizzazione che credeva di
essere in una “botte di ferro”.
Partendo da questo approccio, si può
quindi affermare che l’azienda meno
difesa di una determinata catena
del valore corrisponde al grado di
sicurezza complessivo della chain
stessa. Si potrebbe in realtà affermare
che il concetto di network aziendale sia
ormai superato: se in passato l’impresa
poteva essere considerata un’isola in un
mare composto da altre imprese, dai
propri clienti e dai propri fornitori, nel
mondo interconnesso di oggi il mare sta
sempre più invadendo l’isola.
Risulta quindi fondamentale che tutte le
imprese coinvolte collaborino in maniera
attiva alla creazione di una strategia
di sicurezza comune, con policy e
KPI condivisi, in modo da garantire
continuità al grado di protezione
dell’intero ecosistema. Il passo non
è comunque facile: ad esempio, gli
strumenti e il sistema di sicurezza di
un’azienda manifatturiera possono
essere
profondamente
differenti
da quelli di un’impresa fornitrice di
servizi e per questo è importante
che tutte le organizzazioni effettuino
una valutazione dei propri asset
aziendali per decidere di proteggere
quelli di maggior valore. Un livello di
sicurezza accettabile deriverà quindi
dalla volontà dell’impresa di adottare
soluzioni e practice all’avanguardia
rispetto all’intero ecosistema in cui
opera, in modo da fornire anche alle
proprie pari una nuova “frontiera” della
sicurezza complessiva.
Davanti
alle
costanti
minacce
alla sicurezza informatica, molte
organizzazioni, a dispetto di quanto
spesso
pubblicamente
dichiarato,
continuano a non adottare una strategia
“olistica”, con una visione completa dei
rischi della sicurezza a livello aziendale,
limitandosi a risolvere i singoli casi che
di volta in volta si trovano davanti ed a
migliorare unicamente il singolo ambito
o settore vittima dell’attacco.
Noi crediamo invece che una strategia
di risk management della sicurezza
dell’informazione aziendale, composta
da una serie di step consequenziali
e da un continuo aggiornamento del
livello di sicurezza aziendale, con piani
di recovery e scenari di “what if”, siano
la practice migliore per mantenere
un’impresa sicura e flessibile.
Un livello di sicurezza considerato
“ottimale” ad un indagine svolta in un
ipotetico tempo “t zero”, può trovarsi
generalmente sorpassata ad un
momento “t uno”, poiché la velocità di
cambiamento delle modalità di attacco
superano spesso la rapidità di risposta e
previsione delle organizzazioni.
11
12
CAPITOLO 2
Information Security:
la survey in Italia
In questo capitolo vogliamo presentare
alcune dimensioni chiave relative
alle misure di Cyber Security, grazie
all’importantissimo contributo dato alla
ricerca di NEXTVALUE da un panel di
160 CIO, CSO e CISO in rappresentanza
delle principali imprese italiane. Per le
informazioni riguardanti composizione
e caratteristiche del panel, ovviamente
nel rispetto delle regole del privacy,
rimandiamo al capitolo presentato
in appendice a questa sezione del
documento.
Il principale obiettivo del lavoro è di far
emergere quali misure di prevenzione,
protezione e rilevazione vengano
maggiormente utilizzate in azienda, in
modo da fornire un quadro complessivo
del panorama attuale del mercato
italiano in termini di policy e strumenti
relativi alla sicurezza delle informazioni,
compreso il numero di cyberattacchi
subiti nell’ultimo anno.
La prevenzione e la protezione dai
cyberattacchi
La diffusione di strumenti a prevenzione
e protezione di eventuali attacchi
informatici sembra ormai piuttosto
radicata nelle aziende Top e medie
italiane, perlomeno questo è quanto
emerge dalle risposte del nostro panel
qualificato.
Tra le misure di prevenzione più
frequentemente adottate figurano
in particolare, come evidenziato in
[Figura 2], il Controllo degli Accessi
a determinate risorse del sistema
informatico da parte degli utenti (89%)
e l’utilizzo di Vulnerability Assessment,
per l’identificazione di una lista in ordine
di priorità delle vulnerabilità presenti
in azienda e di Penetration Test per
la simulazione di attacchi simulati ad
obiettivi sensibili per l’Information Security
aziendali (81%).
La diffusione di questi strumenti è indicativa
di un buon grado di awareness dei rischi
legati ad un attacco informatico in azienda
e della necessità di definire i diversi
scenari possibili all’interno di una practice
di management legata a tematiche di
Information Security. In particolare, il
controllo degli accessi risulta fondamentale
per ottenere una corretta identificazione
dei permessi in mano a utenti o ex utenti
di un’organizzazione, per una buona
pratica di Internet Access Management
(IAM). In questo modo è inoltre possibile
eliminare tutti quei permessi di accesso
ad informazioni sensibili dell’azienda
accumulatisi durante gli anni che, oltre
ad essere inutili, incrementano anche in
maniera esponenziale il rischio di esporre
tali informazioni ad attacchi informatici.
Il 74% degli intervistati dichiara inoltre
di implementare procedure per evitare
l’accesso di individui non autorizzati
a determinate attività. Anche questo
viene giustamente identificato dalle
aziende come un punto focale per la
corretta protezione delle informazioni
aziendali, data la sempre più estesa
rete d’interconnessione tra i sistemi
di un’organizzazione ed il numero
crescente di dipendenti e collaboratori
di quest’ultima. Qualificare l’accesso a
determinate attività permette quindi di
contenere un’eccessiva diffusione di dati
di valore per l’azienda.
Anche la presenza di policy di sicurezza
chiare e ben delineate risulta largamente
diffusa all’interno delle imprese del
nostro panel, insieme alla definizione di
una Information Security che sia anche
allineata con diverse esigenze del
business. Ciò avvalora quindi il pensiero
che una strategia di sicurezza delle
informazioni a livello enterprise sia la
migliore soluzione, insieme agli strumenti
più adatti alle caratteristiche di ogni
azienda, per ottenere un buon livello di
prevenzione contro i cyberattacchi.
Data la profonda interconnessione
presente negli attuali ecosistemi di
business, la quantità di dati condivisa
con i propri partner, fornitori ed
altre terze parti cresce ad un ritmo
esponenziale. A conferma quindi
della necessità di monitorare l’intero
ecosistema di imprese, “a monte e a
valle”, in cui una organizzazione opera,
FIGURA 2 MISURE DI SICUREZZA PREVENTIVE PRESENTI IN AZIENDA
D: Quali sono le misure preventive di sicurezza adottate dalla sua organizzazione?
(% di tutti i rispondenti – Risposte multiple – Panel = 160)
13
Fonte: NEXTVALUE® Febbraio 2015
il 63% dei rispondenti richiede che vi
sia conformità tra le politiche di privacy
presenti internamente e tutti i fornitori
aziendali, così come il 53% “spinge”
per una corretta responsabilizzazione
di coloro che operano a stretto
contatto con l’ambiente aziendale,
sia internamente che esternamente.
Un’organizzazione può anche costruire
un fossato virtualmente inespugnabile,
ma se il ponte levatoio rimane aperto
per i fornitori tali fortificazioni diventano
inutili.
Numerose sono inoltre le misure
implementate a protezione delle
informazioni aziendali [Figura 3]: gli
strumenti di Intrusion – Prevention contro
l’esecuzione di programmi non autorizzati
(80%) e di patch management per la
risoluzione di eventuali vulnerabilità in
sicurezza appaiono come i maggiormente
diffusi, secondo il nostro panel di aziende.
A maggiore distanza, seguono comunque
i programmi per l’Identificazione delle
Attività Sensibili (53%): effettuare in
azienda uno screening di tutte le attività, e
garantire ad ognuna di esse lo strumento
di protezione più adatto in base alla loro
priorità per l’azienda. In questo caso
un particolare punto di attenzione va
comunque dato alla separazione tra quelle
attività realmente sensibili, che necessitano
comunque di un maggiore investimento
in sicurezza, da quelle attività di minore
importanza o dotate di un grado inferiore
di protezione, per diminuire la possibilità
di intrusioni “collaterali” che l’azienda
desidera maggiormente proteggere.
Mentre ancora sembra mediamente diffuso
l’utilizzo di strumenti per l’invio di email
FIGURA 3 MISURE DI PROTEZIONE DELLA SICUREZZA PRESENTI IN AZIENDA
D: Quali sono le misure di protezione della sicurezza adottate dalla sua organizzazione?
14
criptate perla protezione del contenuto
da terze parte non autorizzate, allargato
anche ai dispositivi mobili oltre che a
notebook e pc, ancora scarso interesse
viene rivolto alla necessità di attribuire
anche ai dati dell’azienda un valore di
business, per quantificarne l’importanza
anche a fronte di un’eventuale perdita,
o di sistemi dedicati alla rilevazioni di
Advanced Persistent Threat (APT).
Misure di rilevazione e di risposta ad
attacchi alla sicurezza IT
Rilevare rapidamente e saper rispondere
con efficacia ad una minaccia alla
sicurezza delle informazioni aziendali
è una buona practice di qualsiasi piano
aziendale volto a mantenere la continuità
del business aziendale e ad incrementare
la propria cyber resilience. Per quanto
completo possa essere, un piano di risk
management può ridurre il numero degli
attacchi tramite misure di prevenzione, ma
non può ovviamente eliminarli in maniera
assoluta.
I grafici seguenti forniscono una sintesi dei
principali strumenti adottati dalle aziende
del nostro panel per la detection di
attacchi in ambito di IT security e di quali
misure vengano utilizzate per contrastarli,
sulla base di un elenco a risposte multiple.
Al primo posto tra gli strumenti
maggiormente utilizzati figurano, come
può sembrare scontato, strumenti di
Intrusion-detection per l’identificazione
di accessi non autorizzati alle reti o ai
computer (81%). [Figura 4]
Molto diffusi, con percentuali vicine
al 70%, sono anche strumenti per la
rilevazione di malicious code, (come worm,
FIGURA 4 MISURE DI RILEVAZIONE DI ATTACCHI INFORMATICI PRESENTI IN AZIENDA
D: Quali misure di rilevazione sono attualmente in uso in azienda?
15
virus e trojan horse) e per l’analisi ed il
monitoraggio continuo contro accessi non
autorizzati.
Il 61% delle imprese appartenenti al
panel dichiara inoltre di effettuare il
rilevamento o la ricerca di vulnerabilità
nel sistema informatico, attraverso l’uso di
strumenti ad hoc che testano ad esempio
la bontà dei sistemi di autenticazione
dell’impresa.
Per quanto riguarda quindi l’utilizzo di
strumenti di protezione dell’informazione,
le aziende Top e Large italiane sono
dotate in larga maggioranza dei tool
ormai fondamentali in un mondo immerso
nella trasformazione digitale, con tutti i
rischi che questo comporta.
Per quanto riguarda invece gli
strumenti che possono essere utilizzati
nel malaugurato ma probabile caso
in cui si subisca un cyber attack, il 76%
dei rispondenti afferma che la propria
azienda dispone di adeguati piani e
sistemi di Business Continuity e Disaster
Recovery, indispensabili ovviamente anche
in caso di problema tecnici ai sistemi
informativi [Figura 5].
E’ importante inoltre rilevare come il
65% del panel disponga di un processo
di Incident Management Response,
fondamentale per affrontare una
situazione di emergenza, come ad
esempio un data breach, in modo da
essere in grado d’individuare con rapidità
le violazioni alla sicurezza, disporre
di misure per contenerli e mitigarli e
rimettere rapidamente in uso le attività
danneggiate, in maniera sicura.
Rileviamo invece una percentuale
inferiore al 50% per i cosiddetti
sistemi SIEM (Security Information and
Event Management Technologies), che
FIGURA 5 MISURE DI SICUREZZA PREVISTE IN AZIENDA IN RISPOSTA AD EVENTUALI ATTACCHI INFORMATICI
16
D: Quali misure di sicurezza sono previste in risposta ad eventuali attacchi informatici?
contribuiscono ad effettuare un’analisi
in real time degli allarmi di sicurezza
inviati dai sistemi dalle applicazioni di
gestione e monitoraggio. Un incremento
dell’utilizzo di tali strumenti potrebbe
invece essere molto utile ai fini di creare
report a miglioramento del sistema
di compliance aziendale in termini di
sicurezza.
Solo l’11% dei rispondenti delle imprese
del panel dichiara di essere dotata di
un sistema di Incident Response Process
volto ad informare anche terze parti
che hanno in mano lo stesso tipo di dati
ed informazioni dell’attacco avvenuto,
una resistenza dovuta forse alla scarsa
propensione di diffondere la notizia
dell’attacco subito, anche per questioni
reputazionali. Un maggior grado di
collaborazione e condivisione della
tipologia di incidenti avvenuti potrebbe
invece essere di aiuto per creare un
fronte coeso e comune contro il cybercrime.
Valutazione dei partner tecnologici
Abbiamo inoltre voluto chiedere al
nostro panel la composizione, in base
alla tipologia di ownership, dei sistemi
di sicurezza dell’informazione presenti
in azienda. Come mostrato in [Figura 6],
quasi la metà dei rispondenti dichiara di
affidarsi a sistemi forniti da più vendor
(49%). Una scelta molto probabilmente
dettata da dinamiche di costo-opportunità
e dalla possibilità di una maggiore
copertura tramite l’utilizzo di strumenti di
più fornitori.
Più specificamente, una percentuale
del 37% preferisce invece adottare i
migliori sistemi per ogni specifica nicchia o
campo di azione dell’Information Security
Management, quelli che in gergo vengono
definiti “best of breed”.
Alcuni vantaggi legati a questa soluzione
FIGURA 6 PERCENTUALE OWNERSHIP SISTEMI DI SICUREZZA
D: Con specifico riferimento alle soluzioni di sicurezza dei contenuti, la sua azienda
preferisce adottare
17
sono di ottenere le migliori prestazioni ed
un maggior numero di funzionalità per
ogni specifica categoria, e di effettuare
gli aggiornamenti separatamente e
senza eventuali ripercussioni sugli altri
sistemi in uso Alcuni rischi in cui potrebbero
incorrere le imprese che prediligono sono
ad esempio la difficoltà d’integrazione
e lo scambio di dati ed informazioni
tra sistemi che appartengono a diversi
fornitori.
Percentuale di cyberattack negli ultimi 12
mesi
A conclusione di questa breve indagine
sui trend legati alle misure di sicurezza
in ambito IT, per tentare di definire in
maniera quantitativa il numero di attacchi
subito da ogni impresa, abbiamo chiesto
al nostro panel di indicare all’interno di
una scala valori, da nessuno fino a 50,
il numero di cyberattack subito da ogni
impresa nell’arco degli ultimi dodici mesi
[Figura 7].
A dimostrazione dell’efficienza dei diversi
tool adottati in azienda, una percentuale
combinata del 74% dichiara di non aver
subito attacchi di alcun tipo (25%), o
nell’ordine inferiore alla decina (49%).
Solo il 14% dei rispondenti ammette di
aver assistito fino a 50 attacchi nell’ultimo
anno, mentre un criptico 11% non indica di
conoscerne la numerosità.
Questi risultati ci permettono di affermare
che non solo vi è una reale necessità di
strumenti atti a garantire la sicurezza delle
informazioni, dal momento che purtroppo
ogni organizzazione è davvero a rischio
di subire attacchi, ma anche è possibile
introdurre strumenti e policy ad hoc per la
loro mitigazione.
Il giudizio finale suggerito dal lavoro
FIGURA 7 NUMERO DI CYBERATTACCHI RILEVATI IN A AZIENDA NEGLI ULTIMI 12 MESI
D: Ci può indicare il numero di cyber attack (Frodi, Phishing, Furto di Informazioni, DDoS, Worm e Virus, Accessi non autorizzati, SPAM, etc) che si sono verificati in azienda negli ultimi 12 mesi?
18
del panel è che le misure di Information
Security nelle imprese Top e Large italiane,
pur nelle attuali criticità, sta continuando
a fare progressi, sia per quanto riguarda
la definizione di strategie e lo sviluppo di
practice di management sul tema, sia per
quanto riguarda la presenza in azienda
di strumenti adeguati alla protezione
aziendale.
Pur nella varietà delle posizioni delle
singole organizzazioni, emerge come le
imprese non solo siano in buona parte
consce degli attacchi informatici che
possono subire, ma sempre più ricorrono
a quei tool di valutazione e prevenzione
del cyber risk che permettono di arginare
e mitigare il livello di vulnerabilità di ogni
organizzazione. A tal proposito, vogliamo
sottolineare come questa situazione offra
anche diversi spunti di opportunità e
riflessione anche ai partner tecnologici
del Sistema di Offerta, in particolare per
una spinta al continuo aggiornamento
negli skill e nell’offering, per fornire il
loro prezioso contributo nella lotta al
crimine informatico globale.
Appendice – Composizione del panel e
metodologia utilizzata
Obiettivo dei risultati della ricerca
presentata in questo Custom Insight è
di interpretare la situazione e i trend
riguardo le caratteristiche delle misure
di sicurezza contro i cyberattack nel
panorama italiano, tramite l’osservazione
del comportamento delle imprese Top e
medie italiane, rappresentate dal panel.
La survey è stata condotta da
NEXTVALUE durante i mesi di dicembre
2014 e gennaio 2015, grazie alla
collaborazione offerta da un panel di
160 Chief Information Officer, Chief
Security Officer e Chief Information
Security Officer [Figura 8].
FIGURA 8 COMPOSIZIONE DEL PANEL PER RUOLO DEI RISPONDENTI
19
FIGURA 9 COMPOSIZIONE DEL PANEL PER SETTORE DI APPARTENENZA DELL’IMPRESA DI RIFERIMENTO
FIGURA 10 BUDGET IT A DISPOSIZIONE DELL’AZIENDA (MILIONI DI EURO)
20
D: Qual è il budget IT della sua impresa?
Il lavoro, svolto per la maggior parte
online, ha permesso di ricavare
informazioni puntuali riguardanti i
sistemi di prevenzione e protezione della
sicurezza in ambito IT e di rilevamento e
in risposta ad attacchi informatici subiti,
che permettono di svelare lo scenario
attuale della problematica in esame.
La stratificazione per segmento di
mercato delle imprese facenti parte
del nostro panel è riportata in [Figura
9]. La composizione del panel risulta
omogenea e in linea con la distribuzione
per industry delle principali imprese
del Made in Italy, come dimostra anche
la particolare numerosità del settore
manifatturiero.
Indichiamo inoltre per completezza
il budget IT, comprendente anche gli
investimenti in sicurezza, dichiarato dalle
aziende del nostro panel [Figura 10].
Vogliamo comunque precisare che tutte
le distribuzioni percentuali presenti in
questo Insight si riferiscono esclusivamente
al comportamento degli intervistati e non
implicano quindi l’estensione automatica
della misura dei fenomeni osservati
all’intero universo di riferimento.
21
CAPITOLO 3
What’s next
Il trend di investimento in progetti di
innovazione è in crescita, anche per le
aziende Top e medie italiane. Fondamentale risulterà quindi per esse perlomeno razionalizzare gli investimenti
in Information Security: crediamo infatti fortemente che eventuali deficit di
investimento in tale ambito non possano più essere recuperati in futuro, vista la dinamicità della trasformazione
digitale e la rilevanza degli impatti
che questa può avere sulla sicurezza.
Tutti, dai governi alle imprese di diverse dimensioni ai singoli individui,
sono potenzialmente vulnerabili ad
un attacco informatico, ragione per
cui è importante creare un “muro” di
difesa che comprenda legislazioni a
livello nazionale ed internazionale,
best practice aziendali con un approccio “olistico” alla sicurezza e un
buon livello di awareness, anche a
livello individuale, riguardo ai principali rischi a cui informazioni potenzialmente sensibili possono essere esposte.
La risposta dei sistemi-paese: la necessità di cyber strategie a livello internazionale
Il rischio di attacchi informatici non solo è
ampiamente esteso anche alle istituzioni pubbliche, ma comporta rischi elevati
per l’economia globale e per la società
nel suo complesso. I cyberattacchi possono potenzialmente modificare la natura
e la composizione di guerre ed attacchi
internazionali dal punto di vista digitale.
Anche a livello macro sono quindi necessarie policy e strategie di azioni
condivise all’interno e fra diversi sistemi-paese. Governi ed istituzioni sono
quindi investiti di una crescente responsabilità nella definizione di misure e regolamenti per il mondo cyber [Tabella
22
TABELLA 1 LO SPETTRO DEI POSSIBILI INTERVENTI GOVERNATIVI A LIVELLO NAZIONALE ED INTERNAZIONALE
Strategia di sicurezza informatica a
livello nazionale e internazionale
Coordinazione a livello internazionale
Sistema giuridico
Dialogo ed incentivi a livello nazionale
Creazione di una cyber policy nazionale
trasparente ed omnicomprensiva
• Strategia di sicurezza informatica condivisa tra stati e stakeholder;
• Collaborazione nella lotta al cybercrimine globale
Rafforzamento delle leggi esistenti in materia. Sistema legale flessibile al cambiamento nelle minacce
Collaborazione tra mondo pubblico, privato
e civile nella creazione di policy e meccanismi di mercato
1]. In primo luogo, sembra emergere
come sempre più necessaria la definizione di una strategia a livello nazionale che incorpori le diverse caratteristiche del settore privato e del settore
civile per una strategia condivisa,
guidati da un’istituzione responsabile della coordinazione delle diverse
tematiche e dei diversi settori. Alcuni
paesi hanno già creato delle istituzioni
ad hoc per questo proposito: è il caso
del U.S. National Cybersecurity and
Communication Center per gli Stati
Uniti, dell’Australian Signals Directorate per l’Australia e del National Cyber
Response Centre e National Cyber
Security Council per la Germania.
Sempre negli Stati Uniti, il Department of Homeland Security svolge un ruolo attivo nel riunire membri
del settore pubblico e privato per
la discussione condivisa delle azioni istituzionali da intraprendere.
L’Unione Europea ha invece definito la
sua prima strategia di cyber security
nel documento The European Commission and High Representative’s 2013
Cyber Security Strategy, che copre
questioni di mercato interno, giustizia,
affari interni e policy estera in termini
di cyberspace. Il focus dell’Unione è in
primis rivolto ad una prima disciplina
di tutto ciò che riguarda il cyberspazio, dalla libertà di espressione alle
minacce informatiche, mentre sembra
ancora mancare un’istituzione preposta al controllo del tema. Inoltre, nel
2015 dovrebbe esser finalizzata la
redazione del European Union Data
Protection Regulation, che prevede
l’introduzione di nuovi requisiti per l’invio di notifiche di violazione dei dati
agli individui, che molto probabilmente richiederà alle organizzazioni che
gestiscono informazioni personali di
condurre attività di audit e risk assessment. Il regolamento ricalca l’esperienza statunitense, dove l’introduzione di
una normativa che obbliga le organizzazioni a notificare i casi di violazione
dei dati personali si è tradotta in un
sostanziale aumento del numero di violazioni della sicurezza, fenomeno che
ha in realtà permesso di incrementare
l’attenzione intorno alle tematiche di
cybersecurity. Basandoci quindi sui trascorsi negli USA, possiamo quindi immaginarci che anche nei confini dell’Unione
aumenterà il numero di dichiarazioni
riguardanti gli incidenti in sicurezza.
Riguardo allo scenario globale, il
World Economic Forum ha invece lanciato nel 2012 la Partnership for Cyber
Resilience, un’iniziativa a cui hanno
aderito più di 100 stati per favorire l’utilizzo di un approccio resilience
alle minacce informatiche, in modo da
favorire una crescita sicura della digital economy. Il prossimo quadro della
situazione sarà effettuato durante il
prossimo World Economic Forum Annual
Meeting 2015 a Davos, in Svizzera.
Le istituzioni possono stabilire numerose
iniziative di rilievo, ma in mancanza di
un sistema rapido ed efficiente nell’individuare i potenziali criminali informatici
e nel prendere le giuste misure, qualsiasi policy o regolamento sarà inutile. A
tal riguardo vi sono state alcune iniziative di rilievo in ambito di cooperazione
internazionale, tra cui la collaborazione
nel 2011 tra FBI e polizia estone che
ha permesso di fermare le attività criminose di Esthost, una presunta regolare società di Information Technology
basata in Estonia deidta ad attività di
cybercrime in tutto il mondo. Cinque
delle sei persone allora arrestate in
23
24
Estonia sono ora estradate negli Stati
Uniti in attesa di giudizio, a dimostrazione che i cybercriminali non sono solo
evanescenti fantasmi e che la giustizia
sta comunque facendo il suo corso.
Concludiamo questo paragrafo con un
appunto rivolto sia alle organizzazioni governative, sia alle organizzazioni
private: nell’attuale contesto globale il nostro modesto parere è che le
numerose certificazioni di conformità
alla sicurezza informatica, dal CISSP
al CISA, al GIAC, sono sì fondamentali, ma non sufficienti, vista la velocità della trasformazione digitale. Per
fronteggiare i rischi, serve maggiore
comunicazione e minore burocrazia.
L’IT Security come componente del rischio aziendale complessivo
Per quanto molte possano essere le
iniziative in ambito governativo per
la creazione di policy e di un sistema di protezione, le imprese devono essere comunque consapevoli che
i rischi di sicurezza informatica a cui
sono esposte sono purtroppo molto più
veloci nella loro evoluzione di qualsiasi regolamento o sistema legale.
L’iniziativa dell’ideazione di una strategia di sicurezza volta alla maggiore mitigazione del rischio possibile rimane quindi principalmente in mano
alle imprese. Nonostante gli sforzi
dichiarati ed effettuati, per molte di
esse la possibilità di subire un attacco
informatico rimane comunque confinata al livello di un mero “rischio IT”.
Come già accennato in precedenza,
noi crediamo invece che, già nel breve futuro, sarà sempre più necessaria
una visione “olistica” riguardo alla
strategia ed agli investimenti in Information Security: una vera e propria
management practice in grado di coinvolgere persone, processi e tecnologie.
In realtà, non esiste nessun ritorno dell’investimento in IT security che possa essere
pienamente calcolato in anticipo: come
nel caso di qualsiasi altra misura di prevenzione, si tratta di un costo sostenuto
per la mitigazione di un rischio e di costi
potenziali che potrebbero non avverarsi mai, esattamente come avviene per
le assicurazioni auto in caso di furto o
incendio. Con questo paragone, è semplice comprendere come gli investimenti
debbano essere considerati comunque
parte integrante dell’intero programma
di risk management a livello enterprise.
La sicurezza dell’informazione come cultura aziendale
Molti incidenti riguardanti la sicurezza potrebbero essere evitati
grazie ad una maggiore conoscenza dei rischi insiti nell’utilizzo e nella gestione di informazioni sensibili.
La presenza di Shadow IT può far correre a molte organizzazioni dei seri rischi
alla sicurezza, tramite ad esempio l’accesso non autorizzato ad informazioni di
valore per il business. L’innovazione tecnologica tende a presentare dei trade
off tra incoraggiare l’utilizzo di applicazioni come il cloud, che permettono d’incrementare la produttività aziendale e il
mantenerne il controllo e l’accountability.
Come abbiamo potuto osservare dalle dichiarazioni del nostro panel, molte
imprese Top e Large italiane utilizzano
diffusamente strumenti per verificare
e controllare chi, come e quando accede a diversi sistemi o attività. Esistono inoltre strumenti che permettono di
rimuovere automaticamente l’accesso
agli strumenti aziendali una volta terminato il rapporto di lavoro, per una
corretta protezione delle informazioni di valore di proprietà dell’azienda.
Un’area di monitoraggio rilevante è
quindi l’estensione dell’approccio di
Identity Access Management anche
agli accessi da sistemi web: il processo di controllo e approvazione dell’accesso risulta così allineato anche con il
processo presente per i sistemi interni.
Molto è già stato fatto dalle imprese
italiane in ambito IAM e di network security, e molto ancora si può fare per
migliorare un’area decisamente critica
dell’Information Security Management.
Inoltre, a supporto di questi strumenti
può essere fondamentale la presenza
di una buona comunicazione tra il business e l’IT, in modo da allineare tutte le componenti dell’organizzazione
nei confronti dei rischi realmente presenti, per impedire prima del nascere
errori che in seguito possono risultare
davvero pericolosi per la protezione
aziendale. Tale collaborazione risulta anche fondamentale nella definizione di nuove policy che possano
essere estese a tutti i dipendenti.
Una migliore comunicazione tra business e IT security permette di diffondere una cultura aziendale più sensibile
ai temi di Cyber Security, fondamentale per mitigare drasticamente il rischio di subire un attacco informatico.
Security Awareness: per un’analisi dello
stato dell’arte della sicurezza in azienda
Per assicurarsi che il proprio programma di Information Security sia il migliore per proteggere efficacemente
un’organizzazione, è innanzitutto necessario comprendere come non sia possibile creare un ambiente informatico
sicuro al 100%. E’ questo il motivo per
cui è decisamente più corretto parlare
di “Cyber risk management” al posto di
“Cyber security”: dal momento che gli
attacchi a livello globale continuano a
proliferare, diventa sempre più irrealistico pensare che i cyber attacchi possano
essere completamente eradicati. Ogni
impresa ha quindi il compito di determinare il proprio livello “base” di sicurezza, ovvero il massimo grado di rischio
(operativo, reputazionale o finanziario),
con cui essa ha intenzione di convivere.
Una buona practice consiste nel coinvolgere il più possibile il business ed i
suoi modelli nella definizione della strategia e del budget per l’Information
Security, partendo quindi da un’analisi
della situazione reale dell’azienda da
parte del responsabile della sicurezza.
Prendendo in prestito un termine diffuso in ambiente militare, si tratta quindi
di verificare il grado di security awareness di una determinata impresa, in un
determinato momento. Il primo step può
consistere nella definizione dell’attuale
“linea di difesa”. Il secondo step prevede invece l’attenta valutazione degli
asset aziendali e della loro vulnerabilità: individuare tramite un processo di
risk management quali siano i sistemi
di rilevanza critica permette di capire
dove è prioritario investire in termini di
sicurezza, per una migliore ottimizzazione del budget in sicurezza. Si possono inoltre disegnare degli scenari what
if, che comprendano tutte le tipologie
di costo affrontate: business, perdita
d’immagine, ripristino della situazione
precedente all’incidente informatico.
A questo punto è quindi possibile definire le tecnologie disponibili più adatte a
mitigare i rischi di maggiore rilevanza,
ovvero quell’insieme di firewall, strumenti di rilevamento delle intrusioni, sistemi
di prevenzione e di protezione per con-
25
trastare la perdita dei dati considerati.
Nell’andare a definire la nuova linea
di difesa, risulta inoltre fondamentale
definire che i sistemi dove sono custoditi
i dati più sensibili vengono protetti da
strumenti di sicurezza in grado di separarli dalle aree di minore criticità, per
evitare che i cybercriminali riescano
ad entrare dalla “porta sul retro” (le
aree con minore investimento in sicurezza, maggiormente accessibili) una volta
trovata sbarrata la porta principale.
Una volta effettuati quindi i necessari miglioramenti alla sicurezza, si otterrà infine un nuovo livello di security awareness,
fino alla seguente fase di valutazione.
Come affermato in precedenza, il
livello di sicurezza di un organizzazione non rappresenta uno stato
stazionario, ma necessita di un ag-
giornamento continuo per poter essere il più possibile pronto a rispondere
alle modificazione dei rischi aziendali.
Un’altra best practice può essere rappresentata dall’estensione dei KPI e della misurazione del ROI anche al security
budget. E’ certamente molto difficile il
ritorno di un investimento in soluzioni di
sicurezza per eventi che potrebbero non
realizzarsi mai. Come principio basilare,
il responsabile della sicurezza può invece
controbattere il costo per il business relativo alla compromissione della sicurezza
e confrontarlo quindi con il costo delle
azioni e degli strumenti utili ad evitarla.
Tendenzialmente il costo affrontato preventivamente è drasticamente inferiore
rispetto all’insieme di costi da sostenere in seguito all’attacco. [Tabella 2]
TABELLA 2 UNA VISIONE “OLISTICA” DI INFORMATION SECURITY STRATEGY ALL’INTERNO DELL’AZIENDA
•
Governance
•
26
•
Risk management
•
•
Ecosistema di business
Cultura aziendale
•
Integrazione della cyber security nella policy di risk management aziendale.
Sensibilizzazione del livello executive riguardo ai temi
della sicurezza, per una maggiore comunicazione tra business e IT per la definizione delle policy aziendali.
Valutazione del valore degli asset aziendali e dei rischi
a cui sono esposti. Massima protezione per gli asset di
maggior valore.
Estensione del sistema di KPI e di misurazione del ROI
anche agli investimenti in sicurezza.
Coordinazione con il network di aziende partner, fornitrici e con altri controparti per la limitazione del rischio
aziendale.
Eventuale estensione della policy e dei sistemi di sicurezza delle aziende agli altri membri della value chain.
Creazione di una security culture aziendale per una estensione dell’awareness della sicurezza informatica in tutti i campi
aziendali, compresa la riduzione e limitazione dei casi di Shadow IT.
What’s next
Vogliamo concludere questo breve,
ma speriamo esaustivo, Insight con un
semplice messaggio a tutti i responsabili della sicurezza informatica.
Come emerso dalle risposte del nostro
panel, molto è già stato fatto in termini
di protezione, prevenzione e misure di
rilevazione e risposta agli attacchi da
parte di organizzazioni od individui
cybercriminali, ma molto ancora si potrà fare per continuare a migliorare la
gestione del rischio in ambito IT Security.
Una grande sfida per tutti i CSO e
CISO che si occupano di sistemi di
controllo per l’Information e la Cyber
Security è dettata molto spesso dal
venire incontro alle pressanti richieste
del board di sapere se anche la propria organizzazione potrebbe essere esposta a quegli eclatanti quanto
dannosi attacchi informatici riportati
dai media con crescente frequenza.
La risposta non è così semplice o automatica, se non si conosce davvero in
quali sistemi sono presenti le informazioni ed i dati sensibili dell’azienda, o
come l’accesso a tali dati è stato progettato. E’ anche arduo individuare una
ricetta segreta per migliorare il livello
della sicurezza dell’informazione, se
non una costante attenzione ai basic
e una costante capacità di aggiornamento e realizzazione della strategia e degli strumenti per realizzarla.
Intanto la trasformazione digitale sta
investendo un ampio spettro di ambiti
applicativi tramite processi d’innovazione: dal vasto campo del Business Intelligence, Analytics e Big Data, al Content
Management, al Cloud Computing, fino
al promettente mercato dell’Internet of
Things e sensoristica, aumenta il numero
di informazioni e dati sensibili che ogni
responsabile della sicurezza deve custodire e monitorare in azienda. L’innovazione spinge sempre più la necessità
di incrementare il livello di compliance
aziendale: le best practice da parte di
molte organizzazioni indicano che la
strada migliore si basa su un approccio
risk-based, identificando applicazioni,
sistemi e informazioni di maggiore criticità e focalizzando su di esse la strategia di Information Security. Data infatti
la vastità e l’entità del rischio di attacchi, tentare di rincorrere un grado di
“sicurezza totale” può risultare non solo
altamente dispendioso, ma anche inutile.
L’approccio al tema sicurezza si trasforma quindi sempre più da un approccio
tattico ed “attendista” nei confronti delle
minacce informatiche, verso un approccio
maggiormente strategico, volto a trasformare un problema ritenuto per anni squisitamente IT ad un vero e proprio rischio
di business per l’intera organizzazione.
Il ruolo del Responsabile della Sicurezza
IT deve quindi essere sempre meno “confinato” al dipartimento IT in azienda: è
importante instaurare un dialogo maturo
tra security e business, dal momento che
nessuna organizzazione, e tantomeno
nessun dipartimento all’interno di essa,
può più essere considerato un’isola a sé
stante e può agire da sola per difendersi.
Vogliamo quindi incoraggiare tutti gli
Head of Security a far sentire la propria
voce, per dimostrare l’importanza del lavoro che svolgono tutti nella salvaguardia e prevenzione affinché l’intera organizzazione possa continuare a svolgere il
proprio business in continuità e sicurezza.
27
PUBBLICAZIONE FUORI COMMERCIO

Cyber-security-e-risk-management-nelle-imprese

Transcript

Documenti analoghi

Italia e Israele sono insieme nella lotta per la cybr sicurezza

cybersecurity

ABI_Basilea 2016_CV Diego Travaini

manda questo buono al fax 0365-520933 coi tuoi dati, verrai

prepararsi all`impatto nazioni, tensioni e Cyber war siCurezza e norm

APT, Social Network e Cybercriminali: Strategie difensive

Programma - Università degli Studi del Sannio

Presentazione standard di PowerPoint