Cresce l’attenzione delle organizzazioni verso gli aspetti della cybersecurity e della tutela della privacy, anche se non a sufficienza. È un quadro di luci e ombre quello che emerge dalla 20esima edizione dell’EY Global Information Security Survey (Giss). L’indagine è stata condotta su un campione di top manager di circa 1.200 grandi corporate che operano a livello globale, per capire quali sono le principali preoccupazioni in materia di cybersecurity e in che modo le aziende le stanno affrontando.
Nel contesto attuale, le organizzazioni si trovano a fronteggiare diverse tipologie e fonti di attacco. Gli attacchi comuni, condotti sfruttando vulnerabilità note ma mai sanate, sono sferrati da personaggi con una scarsa conoscenza delle tecnologie, che reperiscono strumenti con facilità e a basso costo nel Deep Web. Gli attacchi avanzati, come i cosiddetti “zero days”, fanno leva su vulnerabilità complesse e poco note, che sfruttano attraverso strumenti tecnologici sofisticati. Infine, gli attacchi emergenti mirano a scovare nuovi vettori d’infezione, come i dispositivi interconnessi e gli oggetti smart, facendo leva sulle vulnerabilità sconosciute delle nuove tecnologie IoT.
“Il dato più evidente che emerge dall’indagine – sottolinea Fabio Cappelli, Partner EY e responsabile Cybersecurity per Italia, Spagna e Portogallo – è che aumentano i rischi cyber cui sono soggette le organizzazioni per effetto delle strategie ‘digital by default’. Tuttavia, gli attacchi che più spesso vanno a segno e creano i maggiori danni sono quelli che utilizzano metodologie classiche e sfruttano vulnerabilità già note da tempo”.
Le aziende hanno ridisegnato i processi al proprio interno per sfruttare al meglio i benefici legati alla digitalizzazione dei processi produttivi ma non sembrano aver compreso a fondo i rischi che un ambiente sempre più connesso e convergente genera. “Solo il 4% delle aziende esaminate dichiara di avere un sistema di protezione adeguato – prosegue – e di monitorare in modo appropriato tutti i rischi”.
Cresce, però, la percezione del pericolo, con il 65% degli intervistati che ritiene la propria azienda “più a rischio” rispetto allo scorso anno. A preoccupare è soprattutto la rapida accelerazione del numero di endpoint e oggetti connessi, che amplia in modo sensibile il perimetro da monitorare e proteggere.
Oltre 9 aziende su 10 aumenteranno quest’anno gli investimenti in sicurezza informatica. “La spinta del timing ormai serrato del Gdpr che entrerà in vigore il prossimo 25 maggio, si fa indubbiamente sentire”, osserva Cappelli. Ma c’è di più. Le organizzazioni si sono finalmente rese conto che la posta in gioco è alta. “Da qui al 2021 – conclude Cappelli – gli impatti degli attacchi cyber nel mondo ammonteranno a 6 trilioni di dollari l’anno secondo Cybersecurity Ventures (erano 3 trilioni nel 2015, ndr) e noi prevediamo un incremento del 20% degli investimenti in sicurezza a livello globale“.
Una spesa che cresce anche per le aziende italiane interpellate da EY, e che nel 2018 sarà convogliata soprattutto in tre ambiti: tecnologie di data protection e privacy (citata dal 76% del campione, contro il 32% del 2017), a testimonianza dell’effetto trainante del GDPR; formazione e sistemi Dlt (Data Loss Prevention). “Cresce anche nel nostro paese l’attenzione alla prevenzione – sottolinea Rodolfo Mecozzi, Senior Manager EY –. Nel 2017 il 65% delle aziende italiane intervistate dichiarava di non avere un programma di prevenzione in atto, oggi questa percentuale è scesa al 61%. Manca, però, ancora un impegno concreto sul fronte del cosiddetto “scudo digitale”, a protezione delle tecnologie più dirompenti e innovative come le criptovalute, il Machine Learning e la robotica industriale“. Cosa possono fare, quindi, in concreto le organizzazioni per proteggersi meglio? “È necessario adottare approcci più strutturati e organici – conclude Mecozzi –. Troppo spesso le organizzazioni finiscono per adottare tatticismi utili a far fronte, di volta in volta, ai pericoli legati alle minacce del momento. Serve, poi, un cambio di mentalità. Occorre fare squadra e imparare a condividere e scambiarsi le informazioni sugli attacchi. I ‘cattivi’, in fondo, lo fanno già da tempo”.
