Cresce l’attenzione delle aziende sull’information security e la privacy. Ma solo il 19% delle grandi imprese dispone di consapevolezza, visione di lungo periodo sulla sicurezza e piani concreti con approcci tecnologici e ruoli organizzativi definiti, mentre il 48% è a uno stadio iniziale di questo percorso.
È questa una delle indicazioni principali dell’Osservatorio Information Security & Privacy della School of Management del Politecnico di Milano, presentato questa mattina nel capoluogo lombardo durante il convegno “Digital Transformation: siamo al Sicuro?”. Mentre le minacce aumentano al ritmo del +30% nei primi 6 mesi del 2015 (dati Clusit), le strategie di information security faticano a tenere il passo dell’evoluzione delle tecnologie digitali e dei pericoli che ne possono derivare.
Una difficoltà dimostrata dalle tipologie di investimento delle aziende, che oggi si concentrano su alcuni ambiti specifici come network security o business continuity/disaster recovery e ancora poco su trend emergenti del digitale come il mobile e il cloud, due ambiti di grande interesse in prospettiva.
In quasi 9 imprese su 10 è aumentata la consapevolezza dell’importanza di una gestione dell’information security & privacy negli ultimi 3 anni, come confermano anche le pianificazioni del budget. Nel 74% dei casi le aziende prevedono oggi un’allocazione formale con orizzonte annuale o pluriennale, solo nel 26% un’allocazione non definita in cui le risorse sono stanziate all’occorrenza.
Le principali fonti di attacco riscontrate, rileva l’Osservatorio del Polimi, provengono dall’esterno e sono le associazioni criminali (58%) o gli hacktivist (46%), ma va riposta attenzione anche a quelle interne, come gli stessi lavoratori (49%) ed i consulenti aziendali (30%). Le minacce più diffuse negli ultimi due anni sono malware (80%), phishing (70%), spam (58%), attacchi ransomware (37%) e frodi (37%). Le principali vulnerabilità sono la consapevolezza dei collaboratori su policy e buone pratiche di comportamento (79%), la distrazione (56%), l’accesso in mobilità alle informazioni aziendali (45%), la presenza di dispositivi mobili personali (33%).
In questo quadro emerge la necessità di ruoli di responsabilità manageriale per le strategie di information security: le organizzazioni si stanno attrezzando, ma oggi solo il 42% delle grandi aziende può dire di aver formalizzato al proprio interno una figura di Chief Information Security Officer.
La ricerca dell’Osservatorio, che al suo primo anno di attività ha coinvolto oltre 150 Chief Information Security Officer, Chief Security Officecer e Chief Information Officer di grandi aziende italiane, dimostra dunque che c’è ancora molta strada da fare, ma che c’è anche una presa di coscienza importante sui rischi legati a privacy e sicurezza informatica seppur con strategie non sempre ben definite.
“Dalla ricerca emerge la consapevolezza della rilevanza di security e privacy tra le imprese italiane, ma anche la tendenza ad affrontare la tematica in modo ancora poco sistemico, mettendo a disposizione i budget necessari soprattutto sotto la spinta degli obblighi normativi – spiega Gabriele Faggioli, responsabile scientifico dell’Osservatorio Information Security & Privacy –. Tra le aziende, risulta evidente il timore di attacchi che provengono anche dall’interno dell’azienda e dei rischi che discendono dalla scarsa cultura informatica del personale”. Inoltre, aggiunge Faggioli, “si nota sempre più anche il ‘peso’ delle tecnologie mobili che sono diventate un fattore rilevante di rischio: la trasformazione digitale delle imprese richiede oggi nuove tecnologie, modelli organizzativi, competenze e regole per garantire, insieme all’innovazione, la necessaria protezione degli asset informativi aziendali”.
Per Alessandro Piva, direttore dell’Osservatorio Information Security & Privacy, il crescente interesse per l’information security non ha ancora spinto la creazione di “modelli in grado di rispondere all’innovazione digitale sempre più dirompente”, che sono necessari e hanno bisogno di “consapevolezza, meccanismi organizzativi ed approcci tecnologici”. Ad oggi solo il 19% delle grandi aziende si può definire matura su entrambe queste linee di azione e secondo Piva c’è la “necessità di definire ruoli di responsabilità manageriale per pianificare e mettere atto la strategia di information security: di fronte a queste sfide, per tenere il passo con l’evoluzione delle tecnologie digitali, la velocità con cui mettere in atto strategie e progetti diventa sempre più fondamentale”.
I modelli di governance, sottolinea l’Osservatorio del Politecnico di Milano, sono variegati e prevedono la presenza, spesso anche la coesistenza, di diversi meccanismi di coordinamento. Solo nel 42% delle grandi imprese è presente in modo formalizzato la figura del Chief Information Security Officer (CISO), e nel 36% dei casi il presidio dell’information security è demandato ad altri ruoli in azienda, come un responsabile della sicurezza (CSO). In 12 aziende su 100 non esiste ancora una figura dedicata e non ne è nemmeno prevista l’introduzione nel prossimo anno.
L’elemento di maggior freno alla creazione di una strategia di information security, evidenziato dalle aziende intervistate, riguarda principalmente la difficoltà di identificare costi e benedici derivanti dall’utilizzo di determinati approcci e tecnologie (60%). Seguono tra i fattori lo scarso committment del top management (38%) e la difficoltà a definire i confini d’azione (32%).
“Le barriere che impediscono oggi di creare una strategia di information security nelle imprese italiane sono molto eterogenee, a testimonianza di situazioni molto differenti, ma si possono identificare alcune linee comuni di intervento – sottolinea Mariano Corso, responsabile scientifico dell‘Osservatorio Information Security & Privacy -. Da una parte è necessaria un’evoluzione dell’organizzazione per favorire la creazione di nuovi ruoli, meccanismi di coordinamento e competenze. Dall’altra si chiede un ripensamento delle metodologie di indagine dei confini della sicurezza, affiancando a logiche tradizionali nuove modalità di analisi per processi”.