L’Osservatorio Information Security & Privacy della School of Management del Politecnico di Milano ha presentato un report sulla sicurezza che ha coinvolto oltre 150 Chief Information Security Officer, Chief Security Officer e Chief Information Officer di grandi aziende italiane. Lo scopo? Indagare il contesto di riferimento, il budget dedicato, le principali aree di investimento ed interesse, le minacce e le principali fonti di attacco ed i ruoli e meccanismi di governance.

Dalla ricerca sono emersi molti elementi interessanti. Cresce innanzitutto l’attenzione delle aziende sull’information security e la privacy, testimoniata da un aumento del 7% della spesa media dedicata negli ultimi mesi, con punte nei settori Media-Telco e Finance, seguiti da PA-Sanità, Utility e Servizi. Ma ad oggi solo il 19% delle grandi imprese dispone sia di consapevolezza e visione di lungo periodo sulla sicurezza, che di azioni e piani concreti con approcci tecnologici e ruoli organizzativi definiti, mentre il 48% è ad uno stadio iniziale di questo percorso.

E così, mentre le minacce aumentano al ritmo del +30% nei primi 6 mesi del 2015 (dati Clusit), le strategie di information security faticano a tenere il passo dell’evoluzione delle tecnologie digitali e dei pericoli che ne possono derivare. Lo dimostrano le tipologie investimento delle aziende, che oggi si concentrano in particolare su ambiti come network security o business continuity/disaster recovery e ancora poco su trend emergenti del digitale come il mobile (priorità di investimento attuale nel 30% dei casi) e il cloud (7%), seppure riconosciuti di grande interesse in prospettiva.

Le principali fonti di attacco riscontrate provengono da fonti esterne come le associazioni criminali (nel 58% dei casi) o gli hacktivist (46%), ma va riposta attenzione anche a quelle interne, come gli stessi lavoratori (49%) ed i consulenti aziendali (30%). Le minacce più diffuse negli ultimi due anni sono malware (80%), phishing (70%), spam (58%), attacchi ransomware (37%) e frodi (37%). Le principali vulnerabilità sono la consapevolezza dei collaboratori su policy e buone pratiche di comportamento (79%), la distrazione (56%), l’accesso in mobilità alle informazioni aziendali (45%) e la presenza di dispositivi mobili personali (33%).

Il CISO è incaricato di definire la visione strategica, implementare programmi a protezione degli asset informativi e mitigare i rischi

Per queste ragioni circa un terzo delle grandi aziende ha subito una perdita o un furto di dati negli ultimi 12 mesi, trafugando per lo più informazioni operative interne, price sensitive, informazioni sui clienti o sui pagamenti. In questo quadro emerge la necessità di ruoli di responsabilità manageriale per le strategie di information security. Le organizzazioni si stanno attrezzando, ma oggi solo il 42% delle grandi aziende può dire di aver formalizzato al proprio interno una figura di Chief Information Security Officer (CISO).

Il CISO è il professionista incaricato di definire la visione strategica, implementare programmi a protezione degli asset informativi e mitigare i rischi. Nel 36% dei casi il presidio dell’information security è demandato ad altri ruoli in azienda, come un responsabile della sicurezza (CSO). Nel restante 12% non esiste una figura dedicata e non ne è prevista l’introduzione nel prossimo anno.

Potenzialmente determinante anche la figura del Data Protection Officer (DPO). Già presente in alcune legislazioni europee, il DPO è il professionista con competenze giuridiche, informatiche, di gestione del rischio e di analisi dei processi aziendali che mette in atto la politica di gestione del trattamento dei dati personali per adempiere alle normative di riferimento. La figura è già formalizzata solo nel 21% delle grandi imprese, mentre in un 33%, pur non esistendo il ruolo, la responsabilità è demandata ad altre funzioni, nel 16% sarà introdotta nei prossimi 12 mesi e nel restante 30% per il momento non sarà inserita.

Uno sguardo infine alle policy di gestione dell’information security & privacy più diffuse, che risultano essere quelle relative al backup dei dati (86%) e degli accessi logici (83%), alla regolamentazione scritta delle policy di sicurezza informatica aziendali (80%) e alla regolamentazione sull’utilizzo degli asset informativi aziendali (79%). Sono meno comuni invece quelle sulla gestione dei device mobili ed in materia di “bring your own device” (48%), di gestione del ciclo di vita del dato (47%), di criptazione dei dati (36%) e di gestione degli ambiti social e web (31%).