Cyber-security-e-risk-management-nelle-imprese
Transcript
Cyber-security-e-risk-management-nelle-imprese
Il presente volume viene pubblicato con licenza Creative Commons - Attribuzione 3.0 Italia (CCBY 3.0 IT) Tu sei libero di riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare, eseguire e recitare quest’opera, di modificare quest’opera, di usare quest’opera per fini commerciali alle seguenti condizioni: Attribuzione — Devi attribuire la paternità dell’opera nei modi indicati dall’autore o da chi ti ha dato l’opera in licenza e in modo tale da non suggerire che essi avallino te o il modo in cui tu usi l’opera. Prendendo atto che: Rinuncia — E’ possibile rinunciare a qualunque delle condizioni sopra descritte se ottieni l’autorizzazione dal detentore dei diritti. Pubblico Dominio — Nel caso in cui l’opera o qualunque delle sue componenti siano nel pubblico dominio secondo la legge vigente, tale condizione non è in alcun modo modificata dalla licenza. Altri Diritti — La licenza non ha effetto in nessun modo sui seguenti diritti: Le eccezioni, libere utilizzazioni e le altre utilizzazioni consentite dalla legge sul diritto d’autore; I diritti morali dell’autore; Diritti che altre persone possono avere sia sull’opera stessa che su come l’opera viene utilizzata, come il diritto all’immagine o alla tutela dei dati personali. Nota — Ogni volta che usi o distribuisci quest’opera, devi farlo secondo i termini di questa licenza, che va comunicata con chiarezza. Questo è un riassunto in linguaggio accessibile a tutti del Codice Legale (la licenza integrale) è online all’indirizzo Internet http://creativecommons.org/licenses/by/3.0/it/ © 2015 NEXTVALUE All Rights Reserved.Reproduction and distribution of this publication in any form without prior written permission is forbidden. The information contained herein has been obtained from sources believed to be reliable. NEXTVALUE disclaims all warranties as to the accuracy, completeness or adequacy of such information. Although NEXTVALUE’s research may discuss legal issues related to the information technology business, NEXTVALUE does not provide legal advice or services and its research should not be construed or used as such. NEXTVALUE shall have no liability for errors, omissions or inadequacies in the information contained herein or for interpretations thereof. The opinions expressed herein are subject to change without notice. SOMMARIO Premessa 5 CAPITOLO 1 La sicurezza digitale in un mondo interconnesso Internet of Things: più connessi, più esposti Shadow IT e controllo degli accessi: il lato oscuro dell’IT in azienda Non si è mai del tutto sicuri: i confini allargati della sicurezza aziendale 7 9 9 10 CAPITOLO 2 Information Security: la survey in Italia Appendice – Composizione del panel e metodologia utilizzata 12 19 CAPITOLO 3 What’s next 22 La risposta dei sistemi-paese: la necessità di cyber strategie a livello internazionale 22 L’IT Security come componente del rischio aziendale complessivo 24 What’s next 27 INDICE Indice delle Figure e Tabelle CAPITOLO 1 Figura 1 Esempi di cyber attack nel 2014 8 CAPITOLO 2 Figura 2 Misure di sicurezza preventive presenti in azienda 13 Figura 3 Misure di protezione della sicurezza presenti in azienda 14 Figura 4 Misure di rilevazione di attacchi informatici presenti in azienda 15 Figura 5 Misure di sicurezza previste in azienda in risposta ad eventuali attacchi informatici 16 Figura 6 Percentuale ownership sistemi di sicurezza 17 Figura 7 Numero di cyberattacchi rilevati in a azienda negli ultimi 12 mesi 18 Figura 8 Composizione del panel per ruolo dei rispondenti 19 Figura 9 Composizione del panel per settore di appartenenza dell’impresa di riferimento 20 Figura 10 Budget IT a disposizione dell’azienda (milioni di Euro) 20 CAPITOLO 3 Tabella 1 Lo spettro dei possibili interventi governativi a livello nazionale ed internazionale 22 Tabella 2 Una visione “olistica” di Information Security Strategy all’interno dell’azienda 26 PREMESSA Premessa di Alfredo Gatti Alfredo Gatti Managing Partner NEXTVALUE Ormai tutti facciamo acquisti online, lavoriamo online, ci divertiamo online, viviamo online. Le nostre vite dipendono sempre di più dai servizi digitali, ma anche dal bisogno di proteggere l’informazione da malintenzionati o da usi impropri. La cyber security è spesso nelle notizie del giorno. Tutti acquisiamo dimestichezza con i vari tipi di malware e con i concetti quali network security, crittografia, furto di identità, risk management… Migliorare le nostre capacità di difesa può contribuire a proteggere la nostra vita digitale, ma ancor più importante è che lo facciano i governi e le imprese che ci offrono i loro prodotti e servizi. I risultati della nostra survey di quest’anno confermano che CSO e CISO, pur alle prese con sempre nuove criticità, spingono la cyber security come practice di management e coinvolgono maggiormente sul tema i loro primi livelli in azienda. Il gap da colmare è proprio il coinvolgimento di tutti gli stakeholder e far sì che la cyber security sia una responsabilità più condivisa, mentre l’impresa procede nel proprio sviluppo e nei propri programmi di innovazione. Anzi, la sicurezza stessa è innovazione e non battaglia di retroguardia e il commitment della prima linea di management è indispensabile. Cosicché la cyber security entra in uno scenario più evoluto, in cui è il business stesso che richiede cambiamenti, perché nessuna organizzazione può ritenersi al sicuro da aggressioni. Come mitigare il NEXTVALUE CUSTOM INSIGHTS 2015 CYBER SECURITY E RISK MANAGEMENT NELLE IMPRESE ITALIANE 5 NEXTVALUE COSTUM INSIGHTS 2015 CYBER SECURITY E RISK MANAGEMENT NELLE IMPRESE ITALIANE rischio deve essere sempre più una “idea fissa”, anche se la nostra sensazione è che siano ancora in molti a confidare, forse troppo, nelle capacità di difesa delle proprie organizzazioni o, peggio, nelle capacità di partner di venire in loro soccorso all’ultimo momento. In questo scenario l’industry della sicurezza funge da spartiacque. Da un lato strumenti sempre più evoluti ed efficaci, dall’altro practice indotte dalla maturazione della cultura della sicurezza e dal commitment aziendale. Unire maggiormente le forze può riequilibrare una situazione oggi ancora troppo sfavorevole alle imprese. Sono sicuro che i risultati del nostro panel possano essere utili per favorire un confronto fra tutti coloro che oggi si impegnano in questa difficile battaglia. Ringrazio Trend Micro ed il suo leader Gastone Nencini per aver reso possibile questa nostra iniziativa e averla supportata con tanto entusiasmo. Buona lettura e buon lavoro. 6 CAPITOLO 1 La sicurezza digitale in un mondo interconnesso NEXTVALUE CUSTOM INSIGHTS 2015 CYBER SECURITY E RISK MANAGEMENT NELLE IMPRESE ITALIANE Cyberspace is becoming the dominant platform for life in the 21st century Ben Hammersley, Wired contributor UK In un mondo sempre più interconnesso, la sicurezza informatica continua ad essere un punto focale nel panorama dell’ICT. E’ innegabile che la trasformazione digitale abbia profondamente aumentato le possibilità di innovazione e miglioramento delle attività di business, ma come conseguenza ha anche aumentato in maniera esponenziale il rischio di incorrere in minacce alla sicurezza e riservatezza dei dati aziendali. Dai Big Data agli analytics, dal cloud computing alle piattaforma di CRM, ai sistemi ERP alle grandi potenzialità dell’Internet of Things, la quantità e il valore di business delle informazioni che le organizzazioni si trovano ormai a “dover gestire” e proteggere è ormai enorme e non può che continuare a crescere. Al contempo, la disruption e l’appropriazione di tali informazioni diventa sempre più appetibile per individui, organizzazioni rivali o addirittura intere nazioni, portando l’attenzione sul livello di sicurezza dell’informazione totalmente su un’altra scala. Le motivazioni possono variare dalla “semplice “variabile economica, alle azioni di contrasto della concorrenza, fino a motivazioni puramente “etiche” o i ordine ideologico-politico. Secondo una ricerca di BCG, il numero dei principali cybertattack riconosciuti è cresciuto del 126% dal 2013 al 2014. In particolare, proprio i device mobili così comuni come smartphone e tablet si stanno trasformando nel “nuovo anello debole” della sicurezza informatica, e nel tentativo di proteggersi molti utenti Android sono caduti in inganno scaricando false app che promettevano antivirus, mentre infettavano il computer stesso: è il caso di “Virus Shield”, un’applicazione che ha ricevuto più di 10.000 download da Google Play, salita subito nelle classifica Top Paid nell’arco di una settimana. Non solo, dagli online retailer come eBay, ai social network alle catene di ristoranti, fino ai nuovi device IoT connessi a reti WiFi, diventa sempre più vasta la gamma di possibilità di rischi ed attacchi disponibili [Figura 1]. Gli attacchi mirati avvenuti in Cina e in 7 NEXTVALUE COSTUM INSIGHTS 2015 CYBER SECURITY E RISK MANAGEMENT NELLE IMPRESE ITALIANE FIGURA 1 ESEMPI DI CYBER ATTACK NEL 2014 Fonte: NEXTVALUE® 2015 da fonti varie 8 Russia nel 2014 hanno dimostrato come in futuro molte organizzazioni potranno essere attaccate con simili metodologie. Anche una non così imprevedibile collaborazione tra hacker, basti pensare al movimento di Anonymous, può indicare un miglioramento degli strumenti a disposizione e in un loro maggior successo, il cui focus verterebbe ovviamente sulle aziende più famose. In un mondo ormai profondamente interconnesso, tendono ad aumentare anche i possibili bersagli da parte dei criminali informatici: se siamo ormai tristemente abituati a considerare “normale” i rischi della navigazione su web, prestiamo forse meno attenzione ai rischi nell’utilizzo di Darknet, VPN la cui esistenza non è conosciuta, utilizzate frequentemente per lo scambio di file peer-to peer. Data la naturale “porosità” di Internet è molto difficile individuare queste reti, rendendole efficaci a coprire identità criminali e le loro attività. Anche la diffusione dei sistemi di pagamento online rende sempre più appetibile colpire tali metodi principalmente per motivazioni economiche, prendendo sempre più di mira in particolar modo gli utenti che vi accedono da mobile. L’attenzione che andrebbe posta riguardo il tema dell’Information Security riguarda inoltre anche le organizzazioni che utilizzano i computer per monitorare, muovere e controllare macchinari, attrezzature o linee di produzione. Un attacco mirato ad un sistema “cyberfisico” può infatti comportare un serie di implicazioni in ambito Operational Health, Safety and Environment per un numero sempre crescente di imprese. Internet of Things: più connessi, più esposti Il mercato dei device connessi ad una rete Internet, dalle fotocamere alle Smart TV, sta mostrando un trend di crescita costante, tanto che una previsione di Business Insider stima il suo valore aggiunto per l’economia globale attorno agli 1.7 trilioni di dollari per il 2019. I benefici dell’interconnessione tra mondo virtuale e mondo fisico sono molteplici: dal miglioramento della vita quotidiana dell’utente finale (dal frigorifero che ci informa dei cibi in scadenza, al progetto pilota dell’automobile di Google con pilota automatico), alla crescita dell’indotto per tutte le aziende coinvolte nella creazione di tali dispositivi, creando nuove possibilità di business in un mercato tendenzialmente saturo. Tuttavia devono essere considerati anche i rischi insiti nel connettere un numero crescente di dispositivi ad un router wifi, tendenzialmente vulnerabile. In caso di attacchi ai router infatti il funzionamento stesso dei device IoT può essere compromesso: la nostra automobile potrebbe decidere di non avviare il motore e lasciarci a piedi per andare al lavoro la mattina, perché la casa automobilistica che la produce è stata vittima di un attacco informatico. Questo potrebbe essere il caso di attacchi mirati di tipo etico o reputazionale. Il rischio primario risiede però nel furto delle enormi quantità di dati generati dagli oggetti e sensori dotati di connessione, dati personali degli utenti che le aziende creatrici dei dispositivi dovranno inoltre immagazzinare e proteggere. Il valore dei dati sensibili generati può variare da informazioni riguardanti la salute personale, fino alle abitudini ed allo stile di vita di migliaia di persone. Non è quindi difficile immaginare come il furto di questi dati possa consistere in un “discreto” valore monetario per i criminali informatici che vorranno perpetrare tali attacchi. Il disegno di una strategia di gestione di questi rischi in maniera preventiva dovrà essere considerata una componente essenziale per le organizzazione coinvolte, dal momento che la domanda non è se, ma quando verranno attaccate. Shadow IT e controllo degli accessi: il lato oscuro dell’IT in azienda L’utilizzo di strumenti tecnologici all’interno delle organizzazioni, come la mobility o il cloud computing, permettono di aumentare la flessibilità e la produttività del lavoro. Al contempo, l’estensione dei confini “virtuali” dell’azienda implica anche un aumento delle probabilità di incorrere in azioni di criminalità informatica. I dispositivi aziendali ed i programmi installati dall’IT sono generalmente attentamente controllati, ma che cosa succede quando l’utente finale installa software o componenti non autorizzate dalla propria azienda? Si tratta del cosiddetto Shadow IT, l’insieme di applicazioni che il dipartimento IT di un organizzazione non solo non ha approvato, ma di cui addirittura a volte non conosce nemmeno l’esistenza. Tali soluzioni spaziano dai servizi in SaaS all’installazione di software per il personal cloud computing, o anche l’utilizzo di dispositivi personali (BYOD) NEXTVALUE CUSTOM INSIGHTS 2015 CYBER SECURITY E RISK MANAGEMENT NELLE IMPRESE ITALIANE 9 NEXTVALUE COSTUM INSIGHTS 2015 10 CYBER SECURITY E RISK MANAGEMENT NELLE IMPRESE ITALIANE non riconosciuti dalla policy aziendale. Più propriamente definiti come greynet sono invece applicazioni come Gmail, quando utilizzata per la posta aziendale, o l’utilizzo di applicazioni come Skype. L’IT “ombra” introduce rilevanti problemi a livello di sicurezza quando l’hardware o il software non supportati non sono soggetti alle stesse stringenti misure adottate all’interno delle organizzazioni. In questo caso infatti i cyber criminali possono avere gioco facile nell’accedere a informazioni e contenuti sensibili dell’azienda, nonostante tutti gli sforzi da essa sostenuti. L’utilizzo di piattaforme free di cloud computing introduce inoltre anche dei problemi di sicurezza e compliance, nel caso in cui vi vengano salvate anche informazioni aziendali. Anche per le organizzazioni in cui l’Internet Access Managment (IAM) è ormai una practice assodata, l’introduzione del cloud computing ha aggiunto nuove complicazioni nel controllo e nella gestione degli accessi: un grande pericolo è dato infatti dalla difficoltà di impedire ai propri utenti di utilizzare delle applicazioni cloud senza che i dipartimenti IT o di sicurezza e compliance ne siano a conoscenza. Il rischio principale è rappresentato anche dalla possibilità che utenti che non fanno più parte dell’organizzazione abbiano accesso a informazioni sensibili e di valore dell’azienda anche al termine del loro periodo di collaborazione. Anche senza mala fede da parte degli ex o attuali dipendenti, le informazioni di cui sono rimasti in possesso possono essere comunque “trafugate” da cybercriminali, senza dover affrontare più complesse barriere IT utilizzati dalle organizzazioni. Un’azienda può quindi essere minacciata senza nemmeno essere a conoscenza del pericolo a cui i propri componenti, a volte intere business unit, la sottopongono. Nonostante la quantità e qualità di strumenti, tecnologie e prassi per migliorare il grado di sicurezza dell’informazione aziendale, la componente umana riveste ancora una grande importanza. Tutti coloro che utilizzano asset aziendali dovrebbero fornire, con la propria consapevolezza, la prima linea di difesa contro gli attacchi informatici, non una fonte di ulteriore minacce alla sicurezza aziendale. Un metodo per fronteggiare il Shadow IT consiste nell’incrementare la security awareness aziendale, sensibilizzando il business riguardo i rischi, spesso inconsapevoli, a cui si stanno sottoponendo le informazioni personali e della propria organizzazione di appartenenza. Solo in questo modo si potrà stimolare la reale conformità a nuove policy introdotte in azienda. Non si è mai del tutto sicuri: i confini allargati della sicurezza aziendale Alcune organizzazioni ritengono di aver raggiunto un adeguato livello di sicurezza quando le proprie misure di riduzione dei rischi, a livello enterprise e per ogni settore interno, vengono considerate accettabili. Ciò non è così vero: gli attaccanti informatici hanno ormai compreso come, per colpire una determinata organizzazione, sia sufficiente prendere in considerazione l’intera catena del valore a cui essa appartiene e colpire gli “anelli deboli” della stessa. Piuttosto che attaccare le reti o i sistemi ben protetti di un’impresa, i cyber criminali trovano invece gioco facile nel colpire le reti o i sistemi di quelle imprese a monte o a valle della supply chain che possiedono livelli inferiori di difesa, impadronendosi di informazioni della stessa organizzazione che credeva di essere in una “botte di ferro”. Partendo da questo approccio, si può quindi affermare che l’azienda meno difesa di una determinata catena del valore corrisponde al grado di sicurezza complessivo della chain stessa. Si potrebbe in realtà affermare che il concetto di network aziendale sia ormai superato: se in passato l’impresa poteva essere considerata un’isola in un mare composto da altre imprese, dai propri clienti e dai propri fornitori, nel mondo interconnesso di oggi il mare sta sempre più invadendo l’isola. Risulta quindi fondamentale che tutte le imprese coinvolte collaborino in maniera attiva alla creazione di una strategia di sicurezza comune, con policy e KPI condivisi, in modo da garantire continuità al grado di protezione dell’intero ecosistema. Il passo non è comunque facile: ad esempio, gli strumenti e il sistema di sicurezza di un’azienda manifatturiera possono essere profondamente differenti da quelli di un’impresa fornitrice di servizi e per questo è importante che tutte le organizzazioni effettuino una valutazione dei propri asset aziendali per decidere di proteggere quelli di maggior valore. Un livello di sicurezza accettabile deriverà quindi dalla volontà dell’impresa di adottare soluzioni e practice all’avanguardia rispetto all’intero ecosistema in cui opera, in modo da fornire anche alle proprie pari una nuova “frontiera” della sicurezza complessiva. Davanti alle costanti minacce alla sicurezza informatica, molte organizzazioni, a dispetto di quanto spesso pubblicamente dichiarato, continuano a non adottare una strategia “olistica”, con una visione completa dei rischi della sicurezza a livello aziendale, limitandosi a risolvere i singoli casi che di volta in volta si trovano davanti ed a migliorare unicamente il singolo ambito o settore vittima dell’attacco. Noi crediamo invece che una strategia di risk management della sicurezza dell’informazione aziendale, composta da una serie di step consequenziali e da un continuo aggiornamento del livello di sicurezza aziendale, con piani di recovery e scenari di “what if”, siano la practice migliore per mantenere un’impresa sicura e flessibile. Un livello di sicurezza considerato “ottimale” ad un indagine svolta in un ipotetico tempo “t zero”, può trovarsi generalmente sorpassata ad un momento “t uno”, poiché la velocità di cambiamento delle modalità di attacco superano spesso la rapidità di risposta e previsione delle organizzazioni. NEXTVALUE CUSTOM INSIGHTS 2015 CYBER SECURITY E RISK MANAGEMENT NELLE IMPRESE ITALIANE 11 NEXTVALUE COSTUM INSIGHTS 2015 12 CYBER SECURITY E RISK MANAGEMENT NELLE IMPRESE ITALIANE CAPITOLO 2 Information Security: la survey in Italia In questo capitolo vogliamo presentare alcune dimensioni chiave relative alle misure di Cyber Security, grazie all’importantissimo contributo dato alla ricerca di NEXTVALUE da un panel di 160 CIO, CSO e CISO in rappresentanza delle principali imprese italiane. Per le informazioni riguardanti composizione e caratteristiche del panel, ovviamente nel rispetto delle regole del privacy, rimandiamo al capitolo presentato in appendice a questa sezione del documento. Il principale obiettivo del lavoro è di far emergere quali misure di prevenzione, protezione e rilevazione vengano maggiormente utilizzate in azienda, in modo da fornire un quadro complessivo del panorama attuale del mercato italiano in termini di policy e strumenti relativi alla sicurezza delle informazioni, compreso il numero di cyberattacchi subiti nell’ultimo anno. La prevenzione e la protezione dai cyberattacchi La diffusione di strumenti a prevenzione e protezione di eventuali attacchi informatici sembra ormai piuttosto radicata nelle aziende Top e medie italiane, perlomeno questo è quanto emerge dalle risposte del nostro panel qualificato. Tra le misure di prevenzione più frequentemente adottate figurano in particolare, come evidenziato in [Figura 2], il Controllo degli Accessi a determinate risorse del sistema informatico da parte degli utenti (89%) e l’utilizzo di Vulnerability Assessment, per l’identificazione di una lista in ordine di priorità delle vulnerabilità presenti in azienda e di Penetration Test per la simulazione di attacchi simulati ad obiettivi sensibili per l’Information Security aziendali (81%). La diffusione di questi strumenti è indicativa di un buon grado di awareness dei rischi legati ad un attacco informatico in azienda e della necessità di definire i diversi scenari possibili all’interno di una practice di management legata a tematiche di Information Security. In particolare, il controllo degli accessi risulta fondamentale per ottenere una corretta identificazione dei permessi in mano a utenti o ex utenti di un’organizzazione, per una buona pratica di Internet Access Management (IAM). In questo modo è inoltre possibile eliminare tutti quei permessi di accesso ad informazioni sensibili dell’azienda accumulatisi durante gli anni che, oltre ad essere inutili, incrementano anche in maniera esponenziale il rischio di esporre tali informazioni ad attacchi informatici. Il 74% degli intervistati dichiara inoltre di implementare procedure per evitare l’accesso di individui non autorizzati a determinate attività. Anche questo viene giustamente identificato dalle aziende come un punto focale per la corretta protezione delle informazioni aziendali, data la sempre più estesa rete d’interconnessione tra i sistemi di un’organizzazione ed il numero crescente di dipendenti e collaboratori di quest’ultima. Qualificare l’accesso a determinate attività permette quindi di contenere un’eccessiva diffusione di dati di valore per l’azienda. Anche la presenza di policy di sicurezza chiare e ben delineate risulta largamente diffusa all’interno delle imprese del nostro panel, insieme alla definizione di una Information Security che sia anche allineata con diverse esigenze del business. Ciò avvalora quindi il pensiero che una strategia di sicurezza delle informazioni a livello enterprise sia la migliore soluzione, insieme agli strumenti più adatti alle caratteristiche di ogni azienda, per ottenere un buon livello di prevenzione contro i cyberattacchi. Data la profonda interconnessione presente negli attuali ecosistemi di business, la quantità di dati condivisa con i propri partner, fornitori ed altre terze parti cresce ad un ritmo esponenziale. A conferma quindi della necessità di monitorare l’intero ecosistema di imprese, “a monte e a valle”, in cui una organizzazione opera, NEXTVALUE CUSTOM INSIGHTS 2015 CYBER SECURITY E RISK MANAGEMENT NELLE IMPRESE ITALIANE FIGURA 2 MISURE DI SICUREZZA PREVENTIVE PRESENTI IN AZIENDA D: Quali sono le misure preventive di sicurezza adottate dalla sua organizzazione? (% di tutti i rispondenti – Risposte multiple – Panel = 160) 13 Fonte: NEXTVALUE® Febbraio 2015 NEXTVALUE COSTUM INSIGHTS 2015 CYBER SECURITY E RISK MANAGEMENT NELLE IMPRESE ITALIANE il 63% dei rispondenti richiede che vi sia conformità tra le politiche di privacy presenti internamente e tutti i fornitori aziendali, così come il 53% “spinge” per una corretta responsabilizzazione di coloro che operano a stretto contatto con l’ambiente aziendale, sia internamente che esternamente. Un’organizzazione può anche costruire un fossato virtualmente inespugnabile, ma se il ponte levatoio rimane aperto per i fornitori tali fortificazioni diventano inutili. Numerose sono inoltre le misure implementate a protezione delle informazioni aziendali [Figura 3]: gli strumenti di Intrusion – Prevention contro l’esecuzione di programmi non autorizzati (80%) e di patch management per la risoluzione di eventuali vulnerabilità in sicurezza appaiono come i maggiormente diffusi, secondo il nostro panel di aziende. A maggiore distanza, seguono comunque i programmi per l’Identificazione delle Attività Sensibili (53%): effettuare in azienda uno screening di tutte le attività, e garantire ad ognuna di esse lo strumento di protezione più adatto in base alla loro priorità per l’azienda. In questo caso un particolare punto di attenzione va comunque dato alla separazione tra quelle attività realmente sensibili, che necessitano comunque di un maggiore investimento in sicurezza, da quelle attività di minore importanza o dotate di un grado inferiore di protezione, per diminuire la possibilità di intrusioni “collaterali” che l’azienda desidera maggiormente proteggere. Mentre ancora sembra mediamente diffuso l’utilizzo di strumenti per l’invio di email FIGURA 3 MISURE DI PROTEZIONE DELLA SICUREZZA PRESENTI IN AZIENDA D: Quali sono le misure di protezione della sicurezza adottate dalla sua organizzazione? (% di tutti i rispondenti – Risposte multiple – Panel = 160) 14 Fonte: NEXTVALUE® Febbraio 2015 criptate perla protezione del contenuto da terze parte non autorizzate, allargato anche ai dispositivi mobili oltre che a notebook e pc, ancora scarso interesse viene rivolto alla necessità di attribuire anche ai dati dell’azienda un valore di business, per quantificarne l’importanza anche a fronte di un’eventuale perdita, o di sistemi dedicati alla rilevazioni di Advanced Persistent Threat (APT). Misure di rilevazione e di risposta ad attacchi alla sicurezza IT Rilevare rapidamente e saper rispondere con efficacia ad una minaccia alla sicurezza delle informazioni aziendali è una buona practice di qualsiasi piano aziendale volto a mantenere la continuità del business aziendale e ad incrementare la propria cyber resilience. Per quanto completo possa essere, un piano di risk management può ridurre il numero degli attacchi tramite misure di prevenzione, ma non può ovviamente eliminarli in maniera assoluta. I grafici seguenti forniscono una sintesi dei principali strumenti adottati dalle aziende del nostro panel per la detection di attacchi in ambito di IT security e di quali misure vengano utilizzate per contrastarli, sulla base di un elenco a risposte multiple. Al primo posto tra gli strumenti maggiormente utilizzati figurano, come può sembrare scontato, strumenti di Intrusion-detection per l’identificazione di accessi non autorizzati alle reti o ai computer (81%). [Figura 4] Molto diffusi, con percentuali vicine al 70%, sono anche strumenti per la rilevazione di malicious code, (come worm, NEXTVALUE CUSTOM INSIGHTS 2015 CYBER SECURITY E RISK MANAGEMENT NELLE IMPRESE ITALIANE FIGURA 4 MISURE DI RILEVAZIONE DI ATTACCHI INFORMATICI PRESENTI IN AZIENDA D: Quali misure di rilevazione sono attualmente in uso in azienda? (% di tutti i rispondenti – Risposte multiple – Panel = 160) 15 Fonte: NEXTVALUE® Febbraio 2015 NEXTVALUE COSTUM INSIGHTS 2015 CYBER SECURITY E RISK MANAGEMENT NELLE IMPRESE ITALIANE virus e trojan horse) e per l’analisi ed il monitoraggio continuo contro accessi non autorizzati. Il 61% delle imprese appartenenti al panel dichiara inoltre di effettuare il rilevamento o la ricerca di vulnerabilità nel sistema informatico, attraverso l’uso di strumenti ad hoc che testano ad esempio la bontà dei sistemi di autenticazione dell’impresa. Per quanto riguarda quindi l’utilizzo di strumenti di protezione dell’informazione, le aziende Top e Large italiane sono dotate in larga maggioranza dei tool ormai fondamentali in un mondo immerso nella trasformazione digitale, con tutti i rischi che questo comporta. Per quanto riguarda invece gli strumenti che possono essere utilizzati nel malaugurato ma probabile caso in cui si subisca un cyber attack, il 76% dei rispondenti afferma che la propria azienda dispone di adeguati piani e sistemi di Business Continuity e Disaster Recovery, indispensabili ovviamente anche in caso di problema tecnici ai sistemi informativi [Figura 5]. E’ importante inoltre rilevare come il 65% del panel disponga di un processo di Incident Management Response, fondamentale per affrontare una situazione di emergenza, come ad esempio un data breach, in modo da essere in grado d’individuare con rapidità le violazioni alla sicurezza, disporre di misure per contenerli e mitigarli e rimettere rapidamente in uso le attività danneggiate, in maniera sicura. Rileviamo invece una percentuale inferiore al 50% per i cosiddetti sistemi SIEM (Security Information and Event Management Technologies), che FIGURA 5 MISURE DI SICUREZZA PREVISTE IN AZIENDA IN RISPOSTA AD EVENTUALI ATTACCHI INFORMATICI 16 D: Quali misure di sicurezza sono previste in risposta ad eventuali attacchi informatici? (% di tutti i rispondenti – Risposte multiple – Panel = 160) Fonte: NEXTVALUE® Febbraio 2015 contribuiscono ad effettuare un’analisi in real time degli allarmi di sicurezza inviati dai sistemi dalle applicazioni di gestione e monitoraggio. Un incremento dell’utilizzo di tali strumenti potrebbe invece essere molto utile ai fini di creare report a miglioramento del sistema di compliance aziendale in termini di sicurezza. Solo l’11% dei rispondenti delle imprese del panel dichiara di essere dotata di un sistema di Incident Response Process volto ad informare anche terze parti che hanno in mano lo stesso tipo di dati ed informazioni dell’attacco avvenuto, una resistenza dovuta forse alla scarsa propensione di diffondere la notizia dell’attacco subito, anche per questioni reputazionali. Un maggior grado di collaborazione e condivisione della tipologia di incidenti avvenuti potrebbe invece essere di aiuto per creare un fronte coeso e comune contro il cybercrime. Valutazione dei partner tecnologici Abbiamo inoltre voluto chiedere al nostro panel la composizione, in base alla tipologia di ownership, dei sistemi di sicurezza dell’informazione presenti in azienda. Come mostrato in [Figura 6], quasi la metà dei rispondenti dichiara di affidarsi a sistemi forniti da più vendor (49%). Una scelta molto probabilmente dettata da dinamiche di costo-opportunità e dalla possibilità di una maggiore copertura tramite l’utilizzo di strumenti di più fornitori. Più specificamente, una percentuale del 37% preferisce invece adottare i migliori sistemi per ogni specifica nicchia o campo di azione dell’Information Security Management, quelli che in gergo vengono definiti “best of breed”. Alcuni vantaggi legati a questa soluzione NEXTVALUE CUSTOM INSIGHTS 2015 CYBER SECURITY E RISK MANAGEMENT NELLE IMPRESE ITALIANE FIGURA 6 PERCENTUALE OWNERSHIP SISTEMI DI SICUREZZA D: Con specifico riferimento alle soluzioni di sicurezza dei contenuti, la sua azienda preferisce adottare (% di tutti i rispondenti – Risposte multiple – Panel = 160) Fonte: NEXTVALUE® Febbraio 2015 17 NEXTVALUE COSTUM INSIGHTS 2015 CYBER SECURITY E RISK MANAGEMENT NELLE IMPRESE ITALIANE sono di ottenere le migliori prestazioni ed un maggior numero di funzionalità per ogni specifica categoria, e di effettuare gli aggiornamenti separatamente e senza eventuali ripercussioni sugli altri sistemi in uso Alcuni rischi in cui potrebbero incorrere le imprese che prediligono sono ad esempio la difficoltà d’integrazione e lo scambio di dati ed informazioni tra sistemi che appartengono a diversi fornitori. Percentuale di cyberattack negli ultimi 12 mesi A conclusione di questa breve indagine sui trend legati alle misure di sicurezza in ambito IT, per tentare di definire in maniera quantitativa il numero di attacchi subito da ogni impresa, abbiamo chiesto al nostro panel di indicare all’interno di una scala valori, da nessuno fino a 50, il numero di cyberattack subito da ogni impresa nell’arco degli ultimi dodici mesi [Figura 7]. A dimostrazione dell’efficienza dei diversi tool adottati in azienda, una percentuale combinata del 74% dichiara di non aver subito attacchi di alcun tipo (25%), o nell’ordine inferiore alla decina (49%). Solo il 14% dei rispondenti ammette di aver assistito fino a 50 attacchi nell’ultimo anno, mentre un criptico 11% non indica di conoscerne la numerosità. Questi risultati ci permettono di affermare che non solo vi è una reale necessità di strumenti atti a garantire la sicurezza delle informazioni, dal momento che purtroppo ogni organizzazione è davvero a rischio di subire attacchi, ma anche è possibile introdurre strumenti e policy ad hoc per la loro mitigazione. Il giudizio finale suggerito dal lavoro FIGURA 7 NUMERO DI CYBERATTACCHI RILEVATI IN A AZIENDA NEGLI ULTIMI 12 MESI D: Ci può indicare il numero di cyber attack (Frodi, Phishing, Furto di Informazioni, DDoS, Worm e Virus, Accessi non autorizzati, SPAM, etc) che si sono verificati in azienda negli ultimi 12 mesi? (% di tutti i rispondenti – Risposte multiple – Panel = 160) 18 Fonte: NEXTVALUE® Febbraio 2015 del panel è che le misure di Information Security nelle imprese Top e Large italiane, pur nelle attuali criticità, sta continuando a fare progressi, sia per quanto riguarda la definizione di strategie e lo sviluppo di practice di management sul tema, sia per quanto riguarda la presenza in azienda di strumenti adeguati alla protezione aziendale. Pur nella varietà delle posizioni delle singole organizzazioni, emerge come le imprese non solo siano in buona parte consce degli attacchi informatici che possono subire, ma sempre più ricorrono a quei tool di valutazione e prevenzione del cyber risk che permettono di arginare e mitigare il livello di vulnerabilità di ogni organizzazione. A tal proposito, vogliamo sottolineare come questa situazione offra anche diversi spunti di opportunità e riflessione anche ai partner tecnologici del Sistema di Offerta, in particolare per una spinta al continuo aggiornamento negli skill e nell’offering, per fornire il loro prezioso contributo nella lotta al crimine informatico globale. Appendice – Composizione del panel e metodologia utilizzata Obiettivo dei risultati della ricerca presentata in questo Custom Insight è di interpretare la situazione e i trend riguardo le caratteristiche delle misure di sicurezza contro i cyberattack nel panorama italiano, tramite l’osservazione del comportamento delle imprese Top e medie italiane, rappresentate dal panel. La survey è stata condotta da NEXTVALUE durante i mesi di dicembre 2014 e gennaio 2015, grazie alla collaborazione offerta da un panel di 160 Chief Information Officer, Chief Security Officer e Chief Information Security Officer [Figura 8]. NEXTVALUE CUSTOM INSIGHTS 2015 CYBER SECURITY E RISK MANAGEMENT NELLE IMPRESE ITALIANE FIGURA 8 COMPOSIZIONE DEL PANEL PER RUOLO DEI RISPONDENTI (% di tutti i rispondenti – Risposte multiple – Panel = 160) 19 Fonte: NEXTVALUE® Febbraio 2015 NEXTVALUE COSTUM INSIGHTS 2015 CYBER SECURITY E RISK MANAGEMENT NELLE IMPRESE ITALIANE FIGURA 9 COMPOSIZIONE DEL PANEL PER SETTORE DI APPARTENENZA DELL’IMPRESA DI RIFERIMENTO (% di tutti i rispondenti – Risposte multiple – Panel = 160) Fonte: NEXTVALUE® Febbraio 2015 FIGURA 10 BUDGET IT A DISPOSIZIONE DELL’AZIENDA (MILIONI DI EURO) 20 D: Qual è il budget IT della sua impresa? (% di tutti i rispondenti – Risposte multiple – Panel = 160) Fonte: NEXTVALUE® Febbraio 2015 Il lavoro, svolto per la maggior parte online, ha permesso di ricavare informazioni puntuali riguardanti i sistemi di prevenzione e protezione della sicurezza in ambito IT e di rilevamento e in risposta ad attacchi informatici subiti, che permettono di svelare lo scenario attuale della problematica in esame. La stratificazione per segmento di mercato delle imprese facenti parte del nostro panel è riportata in [Figura 9]. La composizione del panel risulta omogenea e in linea con la distribuzione per industry delle principali imprese del Made in Italy, come dimostra anche la particolare numerosità del settore manifatturiero. Indichiamo inoltre per completezza il budget IT, comprendente anche gli investimenti in sicurezza, dichiarato dalle aziende del nostro panel [Figura 10]. Vogliamo comunque precisare che tutte le distribuzioni percentuali presenti in questo Insight si riferiscono esclusivamente al comportamento degli intervistati e non implicano quindi l’estensione automatica della misura dei fenomeni osservati all’intero universo di riferimento. NEXTVALUE CUSTOM INSIGHTS 2015 CYBER SECURITY E RISK MANAGEMENT NELLE IMPRESE ITALIANE 21 NEXTVALUE COSTUM INSIGHTS 2015 CYBER SECURITY E RISK MANAGEMENT NELLE IMPRESE ITALIANE CAPITOLO 3 What’s next Il trend di investimento in progetti di innovazione è in crescita, anche per le aziende Top e medie italiane. Fondamentale risulterà quindi per esse perlomeno razionalizzare gli investimenti in Information Security: crediamo infatti fortemente che eventuali deficit di investimento in tale ambito non possano più essere recuperati in futuro, vista la dinamicità della trasformazione digitale e la rilevanza degli impatti che questa può avere sulla sicurezza. Tutti, dai governi alle imprese di diverse dimensioni ai singoli individui, sono potenzialmente vulnerabili ad un attacco informatico, ragione per cui è importante creare un “muro” di difesa che comprenda legislazioni a livello nazionale ed internazionale, best practice aziendali con un approccio “olistico” alla sicurezza e un buon livello di awareness, anche a livello individuale, riguardo ai principali rischi a cui informazioni potenzialmente sensibili possono essere esposte. La risposta dei sistemi-paese: la necessità di cyber strategie a livello internazionale Il rischio di attacchi informatici non solo è ampiamente esteso anche alle istituzioni pubbliche, ma comporta rischi elevati per l’economia globale e per la società nel suo complesso. I cyberattacchi possono potenzialmente modificare la natura e la composizione di guerre ed attacchi internazionali dal punto di vista digitale. Anche a livello macro sono quindi necessarie policy e strategie di azioni condivise all’interno e fra diversi sistemi-paese. Governi ed istituzioni sono quindi investiti di una crescente responsabilità nella definizione di misure e regolamenti per il mondo cyber [Tabella 22 TABELLA 1 LO SPETTRO DEI POSSIBILI INTERVENTI GOVERNATIVI A LIVELLO NAZIONALE ED INTERNAZIONALE Strategia di sicurezza informatica a livello nazionale e internazionale Coordinazione a livello internazionale Sistema giuridico Dialogo ed incentivi a livello nazionale Fonte: NEXTVALUE® Febbraio 2015 Creazione di una cyber policy nazionale trasparente ed omnicomprensiva • Strategia di sicurezza informatica condivisa tra stati e stakeholder; • Collaborazione nella lotta al cybercrimine globale Rafforzamento delle leggi esistenti in materia. Sistema legale flessibile al cambiamento nelle minacce Collaborazione tra mondo pubblico, privato e civile nella creazione di policy e meccanismi di mercato 1]. In primo luogo, sembra emergere come sempre più necessaria la definizione di una strategia a livello nazionale che incorpori le diverse caratteristiche del settore privato e del settore civile per una strategia condivisa, guidati da un’istituzione responsabile della coordinazione delle diverse tematiche e dei diversi settori. Alcuni paesi hanno già creato delle istituzioni ad hoc per questo proposito: è il caso del U.S. National Cybersecurity and Communication Center per gli Stati Uniti, dell’Australian Signals Directorate per l’Australia e del National Cyber Response Centre e National Cyber Security Council per la Germania. Sempre negli Stati Uniti, il Department of Homeland Security svolge un ruolo attivo nel riunire membri del settore pubblico e privato per la discussione condivisa delle azioni istituzionali da intraprendere. L’Unione Europea ha invece definito la sua prima strategia di cyber security nel documento The European Commission and High Representative’s 2013 Cyber Security Strategy, che copre questioni di mercato interno, giustizia, affari interni e policy estera in termini di cyberspace. Il focus dell’Unione è in primis rivolto ad una prima disciplina di tutto ciò che riguarda il cyberspazio, dalla libertà di espressione alle minacce informatiche, mentre sembra ancora mancare un’istituzione preposta al controllo del tema. Inoltre, nel 2015 dovrebbe esser finalizzata la redazione del European Union Data Protection Regulation, che prevede l’introduzione di nuovi requisiti per l’invio di notifiche di violazione dei dati agli individui, che molto probabilmente richiederà alle organizzazioni che gestiscono informazioni personali di condurre attività di audit e risk assessment. Il regolamento ricalca l’esperienza statunitense, dove l’introduzione di una normativa che obbliga le organizzazioni a notificare i casi di violazione dei dati personali si è tradotta in un sostanziale aumento del numero di violazioni della sicurezza, fenomeno che ha in realtà permesso di incrementare l’attenzione intorno alle tematiche di cybersecurity. Basandoci quindi sui trascorsi negli USA, possiamo quindi immaginarci che anche nei confini dell’Unione aumenterà il numero di dichiarazioni riguardanti gli incidenti in sicurezza. Riguardo allo scenario globale, il World Economic Forum ha invece lanciato nel 2012 la Partnership for Cyber Resilience, un’iniziativa a cui hanno aderito più di 100 stati per favorire l’utilizzo di un approccio resilience alle minacce informatiche, in modo da favorire una crescita sicura della digital economy. Il prossimo quadro della situazione sarà effettuato durante il prossimo World Economic Forum Annual Meeting 2015 a Davos, in Svizzera. Le istituzioni possono stabilire numerose iniziative di rilievo, ma in mancanza di un sistema rapido ed efficiente nell’individuare i potenziali criminali informatici e nel prendere le giuste misure, qualsiasi policy o regolamento sarà inutile. A tal riguardo vi sono state alcune iniziative di rilievo in ambito di cooperazione internazionale, tra cui la collaborazione nel 2011 tra FBI e polizia estone che ha permesso di fermare le attività criminose di Esthost, una presunta regolare società di Information Technology basata in Estonia deidta ad attività di cybercrime in tutto il mondo. Cinque delle sei persone allora arrestate in NEXTVALUE CUSTOM INSIGHTS 2015 CYBER SECURITY E RISK MANAGEMENT NELLE IMPRESE ITALIANE 23 NEXTVALUE COSTUM INSIGHTS 2015 24 CYBER SECURITY E RISK MANAGEMENT NELLE IMPRESE ITALIANE Estonia sono ora estradate negli Stati Uniti in attesa di giudizio, a dimostrazione che i cybercriminali non sono solo evanescenti fantasmi e che la giustizia sta comunque facendo il suo corso. Concludiamo questo paragrafo con un appunto rivolto sia alle organizzazioni governative, sia alle organizzazioni private: nell’attuale contesto globale il nostro modesto parere è che le numerose certificazioni di conformità alla sicurezza informatica, dal CISSP al CISA, al GIAC, sono sì fondamentali, ma non sufficienti, vista la velocità della trasformazione digitale. Per fronteggiare i rischi, serve maggiore comunicazione e minore burocrazia. L’IT Security come componente del rischio aziendale complessivo Per quanto molte possano essere le iniziative in ambito governativo per la creazione di policy e di un sistema di protezione, le imprese devono essere comunque consapevoli che i rischi di sicurezza informatica a cui sono esposte sono purtroppo molto più veloci nella loro evoluzione di qualsiasi regolamento o sistema legale. L’iniziativa dell’ideazione di una strategia di sicurezza volta alla maggiore mitigazione del rischio possibile rimane quindi principalmente in mano alle imprese. Nonostante gli sforzi dichiarati ed effettuati, per molte di esse la possibilità di subire un attacco informatico rimane comunque confinata al livello di un mero “rischio IT”. Come già accennato in precedenza, noi crediamo invece che, già nel breve futuro, sarà sempre più necessaria una visione “olistica” riguardo alla strategia ed agli investimenti in Information Security: una vera e propria management practice in grado di coinvolgere persone, processi e tecnologie. In realtà, non esiste nessun ritorno dell’investimento in IT security che possa essere pienamente calcolato in anticipo: come nel caso di qualsiasi altra misura di prevenzione, si tratta di un costo sostenuto per la mitigazione di un rischio e di costi potenziali che potrebbero non avverarsi mai, esattamente come avviene per le assicurazioni auto in caso di furto o incendio. Con questo paragone, è semplice comprendere come gli investimenti debbano essere considerati comunque parte integrante dell’intero programma di risk management a livello enterprise. La sicurezza dell’informazione come cultura aziendale Molti incidenti riguardanti la sicurezza potrebbero essere evitati grazie ad una maggiore conoscenza dei rischi insiti nell’utilizzo e nella gestione di informazioni sensibili. La presenza di Shadow IT può far correre a molte organizzazioni dei seri rischi alla sicurezza, tramite ad esempio l’accesso non autorizzato ad informazioni di valore per il business. L’innovazione tecnologica tende a presentare dei trade off tra incoraggiare l’utilizzo di applicazioni come il cloud, che permettono d’incrementare la produttività aziendale e il mantenerne il controllo e l’accountability. Come abbiamo potuto osservare dalle dichiarazioni del nostro panel, molte imprese Top e Large italiane utilizzano diffusamente strumenti per verificare e controllare chi, come e quando accede a diversi sistemi o attività. Esistono inoltre strumenti che permettono di rimuovere automaticamente l’accesso agli strumenti aziendali una volta terminato il rapporto di lavoro, per una corretta protezione delle informazioni di valore di proprietà dell’azienda. Un’area di monitoraggio rilevante è quindi l’estensione dell’approccio di Identity Access Management anche agli accessi da sistemi web: il processo di controllo e approvazione dell’accesso risulta così allineato anche con il processo presente per i sistemi interni. Molto è già stato fatto dalle imprese italiane in ambito IAM e di network security, e molto ancora si può fare per migliorare un’area decisamente critica dell’Information Security Management. Inoltre, a supporto di questi strumenti può essere fondamentale la presenza di una buona comunicazione tra il business e l’IT, in modo da allineare tutte le componenti dell’organizzazione nei confronti dei rischi realmente presenti, per impedire prima del nascere errori che in seguito possono risultare davvero pericolosi per la protezione aziendale. Tale collaborazione risulta anche fondamentale nella definizione di nuove policy che possano essere estese a tutti i dipendenti. Una migliore comunicazione tra business e IT security permette di diffondere una cultura aziendale più sensibile ai temi di Cyber Security, fondamentale per mitigare drasticamente il rischio di subire un attacco informatico. Security Awareness: per un’analisi dello stato dell’arte della sicurezza in azienda Per assicurarsi che il proprio programma di Information Security sia il migliore per proteggere efficacemente un’organizzazione, è innanzitutto necessario comprendere come non sia possibile creare un ambiente informatico sicuro al 100%. E’ questo il motivo per cui è decisamente più corretto parlare di “Cyber risk management” al posto di “Cyber security”: dal momento che gli attacchi a livello globale continuano a proliferare, diventa sempre più irrealistico pensare che i cyber attacchi possano essere completamente eradicati. Ogni impresa ha quindi il compito di determinare il proprio livello “base” di sicurezza, ovvero il massimo grado di rischio (operativo, reputazionale o finanziario), con cui essa ha intenzione di convivere. Una buona practice consiste nel coinvolgere il più possibile il business ed i suoi modelli nella definizione della strategia e del budget per l’Information Security, partendo quindi da un’analisi della situazione reale dell’azienda da parte del responsabile della sicurezza. Prendendo in prestito un termine diffuso in ambiente militare, si tratta quindi di verificare il grado di security awareness di una determinata impresa, in un determinato momento. Il primo step può consistere nella definizione dell’attuale “linea di difesa”. Il secondo step prevede invece l’attenta valutazione degli asset aziendali e della loro vulnerabilità: individuare tramite un processo di risk management quali siano i sistemi di rilevanza critica permette di capire dove è prioritario investire in termini di sicurezza, per una migliore ottimizzazione del budget in sicurezza. Si possono inoltre disegnare degli scenari what if, che comprendano tutte le tipologie di costo affrontate: business, perdita d’immagine, ripristino della situazione precedente all’incidente informatico. A questo punto è quindi possibile definire le tecnologie disponibili più adatte a mitigare i rischi di maggiore rilevanza, ovvero quell’insieme di firewall, strumenti di rilevamento delle intrusioni, sistemi di prevenzione e di protezione per con- NEXTVALUE CUSTOM INSIGHTS 2015 CYBER SECURITY E RISK MANAGEMENT NELLE IMPRESE ITALIANE 25 NEXTVALUE COSTUM INSIGHTS 2015 CYBER SECURITY E RISK MANAGEMENT NELLE IMPRESE ITALIANE trastare la perdita dei dati considerati. Nell’andare a definire la nuova linea di difesa, risulta inoltre fondamentale definire che i sistemi dove sono custoditi i dati più sensibili vengono protetti da strumenti di sicurezza in grado di separarli dalle aree di minore criticità, per evitare che i cybercriminali riescano ad entrare dalla “porta sul retro” (le aree con minore investimento in sicurezza, maggiormente accessibili) una volta trovata sbarrata la porta principale. Una volta effettuati quindi i necessari miglioramenti alla sicurezza, si otterrà infine un nuovo livello di security awareness, fino alla seguente fase di valutazione. Come affermato in precedenza, il livello di sicurezza di un organizzazione non rappresenta uno stato stazionario, ma necessita di un ag- giornamento continuo per poter essere il più possibile pronto a rispondere alle modificazione dei rischi aziendali. Un’altra best practice può essere rappresentata dall’estensione dei KPI e della misurazione del ROI anche al security budget. E’ certamente molto difficile il ritorno di un investimento in soluzioni di sicurezza per eventi che potrebbero non realizzarsi mai. Come principio basilare, il responsabile della sicurezza può invece controbattere il costo per il business relativo alla compromissione della sicurezza e confrontarlo quindi con il costo delle azioni e degli strumenti utili ad evitarla. Tendenzialmente il costo affrontato preventivamente è drasticamente inferiore rispetto all’insieme di costi da sostenere in seguito all’attacco. [Tabella 2] TABELLA 2 UNA VISIONE “OLISTICA” DI INFORMATION SECURITY STRATEGY ALL’INTERNO DELL’AZIENDA • Governance • 26 • Risk management • • Ecosistema di business Cultura aziendale Fonte: NEXTVALUE® Febbraio 2015 • Integrazione della cyber security nella policy di risk management aziendale. Sensibilizzazione del livello executive riguardo ai temi della sicurezza, per una maggiore comunicazione tra business e IT per la definizione delle policy aziendali. Valutazione del valore degli asset aziendali e dei rischi a cui sono esposti. Massima protezione per gli asset di maggior valore. Estensione del sistema di KPI e di misurazione del ROI anche agli investimenti in sicurezza. Coordinazione con il network di aziende partner, fornitrici e con altri controparti per la limitazione del rischio aziendale. Eventuale estensione della policy e dei sistemi di sicurezza delle aziende agli altri membri della value chain. Creazione di una security culture aziendale per una estensione dell’awareness della sicurezza informatica in tutti i campi aziendali, compresa la riduzione e limitazione dei casi di Shadow IT. What’s next Vogliamo concludere questo breve, ma speriamo esaustivo, Insight con un semplice messaggio a tutti i responsabili della sicurezza informatica. Come emerso dalle risposte del nostro panel, molto è già stato fatto in termini di protezione, prevenzione e misure di rilevazione e risposta agli attacchi da parte di organizzazioni od individui cybercriminali, ma molto ancora si potrà fare per continuare a migliorare la gestione del rischio in ambito IT Security. Una grande sfida per tutti i CSO e CISO che si occupano di sistemi di controllo per l’Information e la Cyber Security è dettata molto spesso dal venire incontro alle pressanti richieste del board di sapere se anche la propria organizzazione potrebbe essere esposta a quegli eclatanti quanto dannosi attacchi informatici riportati dai media con crescente frequenza. La risposta non è così semplice o automatica, se non si conosce davvero in quali sistemi sono presenti le informazioni ed i dati sensibili dell’azienda, o come l’accesso a tali dati è stato progettato. E’ anche arduo individuare una ricetta segreta per migliorare il livello della sicurezza dell’informazione, se non una costante attenzione ai basic e una costante capacità di aggiornamento e realizzazione della strategia e degli strumenti per realizzarla. Intanto la trasformazione digitale sta investendo un ampio spettro di ambiti applicativi tramite processi d’innovazione: dal vasto campo del Business Intelligence, Analytics e Big Data, al Content Management, al Cloud Computing, fino al promettente mercato dell’Internet of Things e sensoristica, aumenta il numero di informazioni e dati sensibili che ogni responsabile della sicurezza deve custodire e monitorare in azienda. L’innovazione spinge sempre più la necessità di incrementare il livello di compliance aziendale: le best practice da parte di molte organizzazioni indicano che la strada migliore si basa su un approccio risk-based, identificando applicazioni, sistemi e informazioni di maggiore criticità e focalizzando su di esse la strategia di Information Security. Data infatti la vastità e l’entità del rischio di attacchi, tentare di rincorrere un grado di “sicurezza totale” può risultare non solo altamente dispendioso, ma anche inutile. L’approccio al tema sicurezza si trasforma quindi sempre più da un approccio tattico ed “attendista” nei confronti delle minacce informatiche, verso un approccio maggiormente strategico, volto a trasformare un problema ritenuto per anni squisitamente IT ad un vero e proprio rischio di business per l’intera organizzazione. Il ruolo del Responsabile della Sicurezza IT deve quindi essere sempre meno “confinato” al dipartimento IT in azienda: è importante instaurare un dialogo maturo tra security e business, dal momento che nessuna organizzazione, e tantomeno nessun dipartimento all’interno di essa, può più essere considerato un’isola a sé stante e può agire da sola per difendersi. Vogliamo quindi incoraggiare tutti gli Head of Security a far sentire la propria voce, per dimostrare l’importanza del lavoro che svolgono tutti nella salvaguardia e prevenzione affinché l’intera organizzazione possa continuare a svolgere il proprio business in continuità e sicurezza. NEXTVALUE CUSTOM INSIGHTS 2015 CYBER SECURITY E RISK MANAGEMENT NELLE IMPRESE ITALIANE 27 PUBBLICAZIONE FUORI COMMERCIO