Verso una sicurezza Ict di sistema

Se fosse stato ancora necessario, il passaggio obbligato al lavoro a distanza ha reso evidente la dipendenza delle imprese dalla tecnologia informatica e dalla necessità di metterla in sicurezza. E l’argomento è sempre di più nell’agenda dei board

Il tema della sicurezza informatica entra sempre più nelle strategie delle imprese, percepito come priorità sistemica anche dal top management aziendale. Questa tendenza è stata probabilmente accelerata dalla recente pandemia, in cui il repentino spostamento al lavoro a distanza e la necessità di proteggere in parallelo i dati aziendali, ha reso ancor più evidente la dipendenza del business moderno dai sistemi tecnologici. Un chiaro segnale in questo senso è emerso dalla ricerca Cyber risk management 2020, la maturità raggiunta dalle aziende italiane, condotta da The Innovation Group e presentata nel corso del Cybersecurity Summit 2020 organizzato online dalla società di consulenza e ricerche di mercato.
Come ha affermato Ezio Viola, co-founder di The Innovation Group, la nona edizione del Cybersecurity Summit “non poteva non toccare il tema della continuità del business in tempi di pandemia, situazione che ha messo i chief security officer di fronte a quello che potrebbe essere definito quasi uno stress test per mettere le aziende in grado di gestire da un lato la conversione al remote working e dall’altro di proteggersi dall’intensificarsi di attacchi che arrivavano sempre più numerosi”.
Un’indagine condotta nel marzo scorso su un panel di 93 aziende italiane, ha permesso di fotografare le priorità delle imprese in periodo di lockdown, ma nello stesso tempo ha fatto emergere le prime indicazioni di quella che potrebbe essere la “nuova normalità” nel settore della cybersecurity.
La virata verso lo smartworking
In genere, le imprese hanno dichiarato alterazioni del normale andamento delle attività in tutti i settori aziendali, a partire dalle vendite con circa l’80% che ha denunciato una riduzione o una totale sospensione dell’attività, seguite dall’area degli acquisti, supply chain, logistica e produzione. Al contrario, hanno affermato di aver lavorato come al solito, o di aver avuto un incremento degli impegni, l’ambito delle risorse umane, marketing e comunicazione, legal, amministrazione e ricerca e sviluppo, anche se con percentuali non di molto superiori a quelle imprese che negli stessi ambiti hanno dichiarato un calo di attività. Sempre nel periodo di emergenza, le aziende in molti casi hanno dovuto investire risorse per poter rendere possibile il lavoro a distanza: il 67% ha speso per l’acquisto di computer, laptop e notebook, il 49% per software e strumenti di collaboration, il 43% ha acquisito strumenti e servizi di cybersecurity, il 42% telefonia mobile, il 41% ha speso per infrastrutture di telecomunicazione; da notare anche un 20% che ha investito in formazione.
Tra cybersecurity e remote working, la survey ha indagato quali strumenti per la compliance alla privacy e per la sicurezza sono stati adottati o sono in via di adozione: la prima voce è la connessione Vpn (78%), seguita dalla formazione del personale (72%) e da soluzioni anti-malware costantemente aggiornate (70%), un 64% si è dedicato anche alla definizione di policy sulla protezione dei dati.
Il consolidamento di un trend
La ricerca sulle iniziative delle imprese in relazione alla chiusura per il Covid-19 assume maggiore significato in associazione a quanto era emerso dalla survey condotta annualmente da The Innovation Group, dalla quale emergono alcuni aspetti rilevanti in tema di priorità su internet e digitale. In particolare, risultano interessanti la sensibilità e capacità delle aziende di incorporare la sicurezza nei processi aziendali, coinvolgendo le persone e responsabilizzando i business manager, con il chief information security officer (Ciso) che riporta direttamente al board (impegno importantissimo per oltre il 50% degli intervistati, che diventa 90% aggiungendo chi lo ha definito “molto rilevante”). La seconda priorità riguarda l’impegno a mettere in sicurezza la supply chain, imponendo elevati standard a fornitori e partner (tema definito “molto o moltissimo” importante dall’80%). Ezio Viola ha tenuto a sottolineare le successive due voci emerse, che riguardano i temi della condivisione delle informazioni sugli attacchi cyber e la volontà di collaborare su strategie comuni di difesa, affermando che “dalla situazione vissuta in questi mesi rimarrà la necessità di collaborare, di poter scambiarsi informazioni e di agire insieme per trovare soluzioni”.
La survey si è concentrata anche sull’analisi delle tipologie di attacco e delle aree che ne sono oggetto: gli ambiti più colpiti sono di gran lunga l’identità degli utenti (48% delle dichiarazioni) e gli endpoint delle imprese (46%). Nelle “armi” di attacco si osserva una netta prevalenza delle prime quattro modalità rispetto alle successive: phishing (71%), malware (58%), ransome (43%), spam o botnet (42%). Guardando agli esiti di incidenti significativi, prevalgono le dichiarazioni che escludono conseguenze negative (51%), mentre il 22% afferma di aver subito lo scorso anno da 2 a 10 incidenti informatici con conseguenze di data breach o interruzione di servizio Ict, e il 14% di averne subito solo uno: percentuali che potrebbero però risentire di una scarsa percezione da parte delle organizzazioni rispetto alla possibilità di aver subito dei danni. In genere, comunque un’azienda su tre (35%) ha avuto come conseguenza il blocco temporaneo dell’attività dei propri lavoratori.
Security più strategica, ma sempre un costo
Nel tempo sono cambiate anche le priorità dei responsabili dell’information security, sempre più orientate a tematiche di visione di sistema prima che sulle tecnologie: per il 48% dei Ciso e Security manager l’attenzione principale va posta sulla consapevolezza di tutto l’ambiente verso i temi della security, il 42% mette tra le priorità l’attività di intelligence sulle minacce, il 35% coglie tra le priorità le tematiche correlate al Gdpr.
Un confronto tra le priorità dei responsabili della cybersecurity nel 2018 e nel 2020 evidenzia un’evoluzione in alcuni ambiti verso un approccio meno tecnologico e più strategico: nel 2018 a prevalere erano le voci relative alla possibilità di coinvolgere in maniera efficace il board e il top management aziendale (68%, ma 42% nel 2020) e di allineare gli obiettivi della sicurezza con quelli del business (52%, e oggi 44%), argomenti che rimangono sempre prioritari ma ora sembrano in parte acquisiti, tanto che le principali sfide risultano essere la complessità crescente di gestione della cybersecurity (58% rispetto al 51% del 2018) e l’accesso a risorse finanziarie adeguate, voce passata dal 36% del 2018 al 51% di oggi. Quest’ultimo tema si riflette però anche nella percezione della cybersecurity in azienda, vissuta ancora nel 73% dei casi come una voce di costo e solo per il 27% come una funzione abilitante del business.