I dati della Survey di EY evidenziano una maggiore consapevolezza del rischio cyber, ma manca ancora una vera e propria strategia di protezione
Le aziende sono sempre più consapevoli del rischio cyber. Se l’imminente entrata in vigore del Regolamento Europeo sulla Protezione dei Dati Personali (GDPR) ha avuto un effetto positivo per quanto riguarda gli investimenti in sicurezza informatica, le aziende mancano ancora di una strategia organica di protezione dalle minacce, finendo per affrontare il singolo attacco subito.
Il rischio cyber continua a crescere
Il rischio informatico per le organizzazioni è in continua crescita. Aziende e strutture pubbliche sono ormai sempre più connesse e fondano la loro attività su serie di dati digitalizzati, la cui perdita o violazione comporterebbe seri danni finanziari, reputazionali e di business continuity. Le strategie legate all’Internet of Things in particolare, hanno ampliato notevolmente il perimetro da monitorare e difendere. L’attenzione alla sicurezza informatica non può più riguardare la sola area IT, ma deve entrare nella totalità dei processi aziendali. La molteplicità dei terminali e l’intera supply chain possono essere punti d’ingresso di criminali informatici: dalle sedi fisiche, agli smartphone dei dipendenti e ai sensori adoperati sulla catena di montaggio. Occorre condurre un’analisi delle aree maggiormente a rischio, identificare i punti strategici da proteggere e mettere in atto strumenti di mitigazione e prevenzione.
EY Global Information Security Survey
Il 18 gennaio è stata presentata a Milano la ventesima edizione della EY Global Information Security Survey (GISS), condotta da EY, network mondiale di servizi professionali di consulenza direzionale, revisione contabile, fiscalità e transaction, su un campione di figure dirigenziali in area IT e sicurezza di 1.200 aziende in tutto il mondo. Lo studio indaga i principali rischi percepiti e come le aziende stanno affrontando i nuovi bisogni di sicurezza informatica.
A livello mondiale, il 65% degli intervistati ritiene che la propria azienda corra un rischio maggiore rispetto allo scorso anno. Tuttavia, solo il 4% del campione dichiara adeguato il proprio sistema di protezione e la sua capacità di monitorare puntualmente i rischi.
Secondo lo studio, il 91% delle aziende aumenterà nel 2018 gli investimenti in sicurezza informatica e EY stessa ipotizza un incremento del 20% degli investimenti a livello globale da qui al 2021. Finora la maggior parte del budget aziendale dedicato alla sicurezza era teso a coprire di volta in volta i danni recati dagli attacchi subiti. Tuttavia, si registra un aumento dell’attenzione alla prevenzione, anche in Italia. Nel 2017, il 65% delle aziende italiane del campione dichiarava di non avere un programma di prevenzione in atto, mentre la percentuale è ora scesa al 61%.
Aumenta l’attenzione alla Cyber Security in Italia
In Italia, le imprese stanno infatti prendendo consapevolezza del rischio informatico. Il 58% dei top manager responsabili della protezione dei dati è consapevole di essere poco in linea con il Regolamento Europeo sulla protezione dei dati personali (GDPR), operativo dal prossimo 25 maggio. Il 71% sa di non essere adeguatamente formato e preparato in materia di sicurezza delle informazioni. Il 63% ammette di non avere una strategia di comunicazione di crisi in caso di attacco informatico, né un piano in caso di furto, sequestro o perdita degli archivi digitali. Emerge inoltre la necessità di ridefinire gli obiettivi dei centri operativi di sicurezza informatica già attivi nella quasi totalità delle grandi società italiane, che sono stati in grado di rilevare solo il 19% dei recenti danni a sistemi informatici.
«Nel prossimo futuro si dovrà lavorare per ridurre i tempi di reazione alla luce della velocità con cui gli attacchi si diffondono»
Fabio Cappelli, Partner EY e responsabile Cybersecurity per Italia, Spagna e Portogallo
Malware e phishing i rischi più temuti
Le organizzazioni si trovano a fronteggiare tipologie di attacco diversificate e in rapida evoluzione. Il report di EY delinea il panorama di rischio attuale e le tendenze future. Gli attacchi “comuni” necessitano di limitate competenze, sfruttano vulnerabilità note, ma non sanate, e possono essere sferrati con tecnologie disponibili a basso costo nel Deep Web. Questi attacchi si differenziano da quelli “avanzati”, tra cui spiccano i cosiddetti “zero day”, che riescono a introdursi nei sistemi IT aziendali grazie a vulnerabilità poco note, senza che gli esperti abbiano il tempo di capire in che modo fermarli. Gli attacchi “emergenti”, invece, sfruttano nuovi vettori d’infezione, come i dispositivi interconnessi, e vulnerabilità sconosciute delle tecnologie IoT.
L’indagine EY individua nei malware la minaccia maggiormente percepita dalle aziende. Tramite programmi di questo tipo è condotto il 63% degli attacchi, dato in crescita rispetto al 52% rilevato nella precedente edizione del report del 2016. Al secondo posto, troviamo il phishing, rappresentante il 64% dei casi, in aumento rispetto al 51%. Il 77% del campione cita la disattenzione dei dipendenti come causa più probabile di un attacco, seguita dalla criminalità organizzata (56%) e dai comportamenti intenzionalmente dannosi dei dipendenti.
E’ dunque urgente attrezzarsi di misure di sicurezza adeguate. Nella gestione di rischi informatici sempre più pervasivi, il mercato assicurativo avrà necessariamente un ruolo importante.