Il 2016 è stato l’anno degli hack e dei veri e proprio crack informatici, nel mondo delle aziende private come negli enti pubblici. Anche la politica è stata coinvolta massicciamente dal tema della sicurezza informatica e soltanto in Italia si è investito quasi un miliardo di euro. Argomento sempre più mediatico, che ha superato i confini degli esperti: eppure una grande impresa italiana su due non ha in organico un manager dedicato. I numeri della ricerca dell’Osservatorio Information Security and Privacy della School of Management del Politecnico di Milano (#OISP17) lo dicono chiaramente: siamo ancora indietro.
Non essere all’altezza del risk management in termini di sicurezza informatica significa essere in pericolo. Lo specchio del problema il convegno di stamani “Cyber Crime: La minaccia invisibile che cambia il mondo” dove si è raccontato quanto cresce tra le imprese la consapevolezza del rischio cyber, ma è anche in forte aumento la fragilità delle stesse aziende di fronte a queste tipologie di minaccia. In altri termini, si rincorre una paura concreta, ma non si è ancora razionalizzato. «I nuovi trend dell’innovazione digitale come Cloud, Big Data, Internet of Things, Mobile e Social richiedono nuove risposte non più rimandabili», racconta Gabriele Faggioli, Responsabile scientifico dell’Osservatorio, «mentre il percorso di gestione dell’Information Security-Privacy imposto dal regolamento europeo chiede alle aziende di mettere in campo adeguati modelli di governance, progettualità e soluzioni per affrontare la trasformazione».
I numeri della ricerca
Il mercato dell’information security in Italia nel 2016 vale 972 milioni di euro, con un tasso di crescita del 5% sul 2015. Questo denaro viene investito in progetti di sicurezza, principalmente nell’identificazione dei rischi e nella protezione dagli attacchi, mentre sono ancora immaturi il supporto alla rilevazione degli eventi e poi la risposta e il ripristino. I progetti più diffusi tra le grandi imprese, spiega la ricerca diretta da Alessandro Piva, sono i penetration test e la data security (51%) e la sicurezza di rete (48%), più in basso si trovano la sicurezza dei messaggi, degli eventi, la governance & administration (IGA) (32%), threat intelligence (20%), transaction security (19%), social media security (16%).
Le pratiche maggiormente presenti nelle aziende riguardano il backup (89%: e ci mancherebbe), la gestione degli accessi, la regolamentazione delle policy di sicurezza informatica, la gestione e l’utilizzo dei device aziendali (72%). Già meno consueta la gestione del ciclo di vita del dato (58%), l’utilizzo di social media e web (57%), le azioni da mettere in atto in risposta agli incidenti informatici (52%), le policy di classificazione dei dati (52%) e di criptazione degli stessi (39%). Si tratta insomma del classico step di maturazione in cui le aziende comprendono altri scenari, nuovi profili manageriali, e rischi connessi ai trend tecnologici meno scontati ma già molto presenti e diffusi.
L’incarnazione perfetta di questo problema sono le due figure di Chief Information Security Officer e Data Protection Officer, che riguardano il regolamento europeo sulla privacy, da adottare entro un anno. Sono poche le aziende che hanno definito una struttura di governo chiara della security, solo nel 46% delle grandi imprese è presente in modo formalizzato la figura del Chief Information Security Officer, nel 12% è presente ma non formalizzata, nel 9% è prevista l’introduzione nei prossimi 12 mesi. Nei restanti casi non esiste una figura ed il presidio dell’information security è demandato direttamente a consulenze esterne o risorse interne adattate.
Le implicazioni del #GDPR – Cosa accade a maggio 2018 #OISP17 pic.twitter.com/zgE7OujBRB
— Osservatori Digital (@Osserv_Digital) February 2, 2017
I rischi connessi
Se si parla di rischi connessi alla tecnologia, basta considerare quanti dispositivi le aziende mettono a disposizione dei loro dipendenti: il mobile, il cloud che ne è diretta conseguenza, lo sviluppo dell’IoT, per i quali sarebbe necessario un uso più profondo delle potenzialità predittive e prescrittive degli algoritmi applicati ai dati dell’azienda stessa. Scrupolo adottato molto di rado anche nelle aziende più grandi. Per quanto riguarda le pmi, l’analisi sulla diffusione delle soluzioni di information security tra circa 800 piccole e medie imprese italiane rivela che il 93% delle PMI ha dedicato un budget nel 2016, sebbene questo non corrisponda necessariamente ad un utilizzo maturo e consapevole. Le principali motivazioni agli investimenti infatti sono l’adeguamento normativo (48%) e gli attacchi subiti in passato (35%), ma a volte seguono la necessità di rispondere a nuove esigenze tecnologiche (22%) o di business (31%). In ogni caso non si va quasi mai oltre le soluzioni di base.
Le assicurazioni
Quando emergono lacune estese e mancanza di protezioni efficaci tra le misure concrete prese dalle aziende nella sicurezza, la prima domanda che ci si dovrebbe porre è: le assicurazioni che fanno? Secondo gli oltre 700 intervistati che hanno partecipato alla Cyber Risk Survey 2016 realizzata da Marsh, la crescita di consapevolezza e di proattività nell’affrontare la minaccia cyber è troppo più moderata rispetto alla velocità dell’incremento dei problemi e i danni causati dai cyberattacchi; la preoccupazione riguardo ad attacchi cyber cresce, ma solo il 14% di queste colloca il presidio del rischio cyber fra le responsabilità dirette del consiglio di amministrazione, mentre il 68% lo riconduce unicamente alla responsabilità della funzione IT.
Alessandro De Felice, Presidente di ANRA, parla di un «eterno cigno nero» e cita la proposta di ethical disclosure del team digitale di Diego Piacentini, come una soluzione possibile:
Troppo spesso manca una cabina di regia che organizzi difese efficaci in un’ottica di medio-lungo periodo e le sottoscrizioni delle polizze assicurative contro i cyber-rischi e i danni causati a terzi sono ancora basse, in quanto vengono siglate solo da un’impresa italiana su sette. Un quadro questo che mostra come la cultura del rischio cyber sia ancora troppo lacunosa, nonostante proclami ad effetto che leggiamo costantemente sui media.