- 88% delle aziende intervistate ritiene di non avere un sistema di sicurezza delle informazioni all’altezza delle reali necessità di protezione del proprio business
- Più di due terzi, circa il 40%, delle aziende reputa necessario fare ulteriori investimenti in cybersecurity
- Non è più una questione di "se" ma di "quando" un’azienda sarà vittima di un attacco
MILANO, 14 DICEMBRE 2015. Circa il 40%
delle aziende a livello globale non considera sufficienti le soluzioni messe in
campo per contrastare gli attacchi informatici. Per l’88% il sistema a presidio
della sicurezza delle informazioni non è all’altezza delle reali necessità di
protezione del business e il 69% degli intervistati ritiene che il budget
dedicato alla cybersecurity dovrebbe essere incrementato fino al 50% per rispondere
adeguatamente alle reali esigenze aziendali.
In Italia, la percezione dell’inadeguatezza dei
sistemi esistenti è in linea con i numeri globali. Per ben il 71% degli
intervistati dovrebbe essere incrementato il budget da destinare alla sicurezza
informatica ma il 46% dichiara che rimarrà costante nei prossimi 12 mesi.
Questi
sono solo alcuni dei dati emersi dall’edizione 2015 dall’indagine EY sulla protezione delle informazioni: Creating trust in the digital world. L’analisi, che ha coinvolto più di 1.750
CIO, CISO e altri Information Security Executive e Manager provenienti da 67
paesi, ha esaminato le criticità legate alla sicurezza delle
informazioni che le aziende devono affrontare quotidianamente. Le minacce sono
in continua evoluzione per numero e tipologia e la continua espansione della
connettività del business crea nuove vulnerabilità.
Le fonti più probabili di un
attacco informatico sono, secondo l’indagine, le organizzazioni criminali
(59%), dipendenti (56%) e hacktivist (54%). La preoccupazione verso tali fonti
di attacco è in crescita rispetto al 2014.
Anche per quanto
riguarda l'Italia, la percezione è che le fonti di rischio siano le medesime, emerge infatti
una specifica preoccupazione nei confronti degli hacktivist (72%), ed una
crescente attenzione verso le organizzazioni criminali (+30% rispetto all’anno
scorso). La preoccupazione verso gli attacchi da parte dei dipendenti diminuisce
invece dal 70% al 47%.
La rapida espansione del mondo digitale offre
significativi benefici, ma la sua velocità di crescita non ha consentito una
stima corretta dei rischi ad essa legati e la consapevolezza delle nuove
insidie è arrivata in ritardo.
Fabio Cappelli, Partner EY e responsabile
Cybersecurity per l’Italia, commenta: “Le
aziende, in particolare in Italia, stanno approcciando con crescente entusiasmo
il processo di digitalizzazione, la cui diffusione comporta una sempre maggiore
esigenza di protezione dal rischio di cyber-crime ad essa collegato. Le aziende
devono sviluppare una forte consapevolezza di minacce e relativi impatti sul
business nonché una chiara strategia di sicurezza in quanto il furto di
proprietà intellettuale ha effetti devastanti sul successo di un’azienda e la
perdita di dati e le successive attività di recupero hanno conseguenze rilevanti
anche dal punto di vista economico.” Aggiunge Cappelli: “La cybersecurity, quindi, è diventata un fattore cruciale nella protezione
del valore delle aziende e nella protezione del Paese”.
Vulnerabilità, minacce e protezione
Phishing e malware sono considerate come le minacce più pericolose
rispettivamente dal 44% e dal 43% dei partecipanti all’indagine.
In questo contesto le aziende evidenziano anche alcune difficoltà nel
contrastare gli attacchi informatici:
►
Il 50% sostiene di non disporre di funzioni o figure dedicate alle minacce
di sicurezza relative alle nuove tecnologie, es. IoT (54% nel mondo);
►
Il 33% in Italia non dispone di un Security
Operations Center, la percentuale sale al 47 a livello globale;
►
Il 38% in Italia ed il 36% a livello globale non ha attivato un programma
di cyber-threat intelligence, mentre il 17% in Italia ed18% a livello globale
dichiara di non avere un programma di gestione delle identità digitali e degli accessi.
A livello globale,
più della metà delle aziende (57%) sostiene che la mancanza di risorse
qualificate è uno dei principali ostacoli per efficacia ed efficienza delle iniziative
di Information Security. Un dato che, rapportato al 53% del 2014 dimostra come
la situazione sia in peggioramento.
Per quanto riguarda
l’Italia, invece, i vincoli di budget rappresentano ancora l’ostacolo
principale (73%) ma si registra un incremento percentuale a doppia cifra rispetto
al 2014 relativamente all’attenzione da parte del management (51%) ed alla
consapevolezza della necessità di una governance della sicurezza (30%).
Le aziende
dovrebbero innanzitutto acquisire maggiore consapevolezza dei propri asset
critici e di come potrebbero essere attaccati.
In questo scenario
diventa di cruciale importanza attivare le giuste difese e agire il prima
possibile per contrastare gli attacchi, attraverso un modello di intelligence e
di monitoraggio che preveda indicatori adeguati, specifici allarmi e limiti ben
definiti.
Tra gli indicatori
che il monitoraggio dovrebbe essere in grado di identificare:
►
attacchi rilevati senza uno specifico scopo evidente,
►
variazioni impreviste del prezzo delle azioni,
►
nuovi prodotti lanciati dai competitor simili a quelli sviluppati dal
proprio R&D,
►
attività di M&A interrotte improvvisamente,
►
comportamento inusuale di un dipendente,
►
interruzione operativa, senza chiare motivazioni,
►
anomalie nei processi di pagamento o nella gestione ordini,
►
database di clienti o utenti con informazioni inconsistenti.
Rodolfo Mecozzi, Senior Manager EY per i servizi
di Cybersecurity, conclude: “Per posizionarsi in modo sicuro e
sostenibile nel mondo digitale, è
necessario che le aziende guardino ogni attività attraverso una lente che
consenta di evidenziare e quindi affrontare i rischi di cybersecurity. A questo
si deve però aggiungere la preparazione e la capacità di rapida risposta agli
incidenti. Come emerge dall’esperienza di questi ultimi anni infatti, l’impatto
degli incidenti è fortemente limitato dalla capacità della leadership aziendale
di porre in essere azioni tempestive ed appropriate per gestirlo”.
Alcuni esempi tra i settori analizzati:
|
Settore
|
Da dove possono provenire i potenziali attacchi
informatici
|
Le priorità nella gestione della sicurezza delle
informazioni
|
|
Consumer
products
|
Dipendenti: 61%
Organizzazioni criminali: 52%
Collaboratori esterni in
azienda: 43%
|
Business
continuity/Disaster recovery resilience: 59%
Data leakage/data loss
prevention: 50%
Identity and access
management: 44%
|
|
Banking
and capital markets
|
Organizzazioni criminali: 74%
Dipendenti: 59%
Hacktivist: 59%
|
Data leakage/data loss
prevention: 67%
Business
continuity/Disaster recovery resilience: 56%
Identity and access
management: 51%
|
|
Power
and utilities
|
Dipendenti: 70%
Hacktivist: 61%
Gruppi finanziati da organi
di governo: 48%
|
Business
continuity/Disaster recovery resilience: 52%
Identity and access
management: 51%
Data leakage/data loss
prevention: 44%
|
|
Oil
& Gas
|
Hacktivist: 62%
Dipendenti: 59%
Gruppi finanziati da organi di governo: 55%
|
Security awareness and
training: 61%
Incident response
capabilities: 55%
Data leakage/data loss
prevention: 55%
|
|
Telco
|
Hacktivist: 56%
Organizzazioni criminali: 56%
Dipendenti: 51%
|
Data leakage/data loss
prevention: 65%
Business
continuity/Disaster recovery resilience: 56%
Incident response
capabilities: 56%
|
EY
EY è leader
mondiale nei servizi professionali di revisione e organizzazione contabile,
assistenza fiscale e legale, transaction e consulenza. La nostra conoscenza e
la qualità dei nostri servizi contribuiscono a costruire la fiducia nei mercati
finanziari e nelle economie di tutto il mondo. I nostri professionisti si
distinguono per la loro capacità di lavorare insieme per assistere i nostri
stakeholder al raggiungimento dei loro obiettivi. Così facendo, svolgiamo un
ruolo fondamentale nel costruire un mondo professionale migliore per le nostre
persone, i nostri clienti e la comunità in cui operiamo.
Post
Nessun commento:
Posta un commento