La sicurezza al tempo del coronavirus tra attacchi e smart working
La maggioranza delle aziende italiane ha subito uno o più cyber attacchi significativi nel corso dell’ultimo anno, ma le priorità di investimento delle organizzazioni non includono tecnologie e modelli avanzati di protezione. È quanto emerge dalla EY Global Information Security Survey (GISS), indagine realizzata annualmente da EY che nel 2020 ha coinvolto 1.300 manager di sicurezza informatica di aziende internazionali.
L’attuale periodo di emergenza sanitaria sta cambiando il nostro modo di lavorare e le aziende sono chiamate a rendere disponibili le necessarie tecnologie digitali per una efficiente remotizzazione del lavoro (piattaforme per video conferenze, collaborazione digitale, ecc.). Le aziende devono allo stesso tempo garantire i medesimi livelli di sicurezza quando computer e smartphone non sono più all’interno del perimetro aziendale, tramite una corretta messa in sicurezza dei dispositivi e delle applicazioni utilizzate da remoto.
Il sondaggio rileva invece la mancanza di un approccio efficace nella gestione delle tematiche relative alla security anche a supporto delle nuove modalità di smart working. Seppure il 19% degli intervistati si concentri sulle misure di connessione sicura, ad esempio tramite l’utilizzo di reti virtuali private, solo una media del 10% degli intervistati dichiara di focalizzarsi sulle principali azioni di prevenzione dalle minacce informatiche, come l’adozione dei più recenti aggiornamenti di sicurezza (patching) e la gestione dei dispositivi utilizzati dagli utenti in mobilità.
A conferma di tale tendenza, il sondaggio evidenzia inoltre un utilizzo limitato (soltanto l’1% per le aziende in Italia) di strumenti a supporto della sicurezza delle applicazioni, che in un contesto remoto diventano uno dei target principali da parte di un potenziale attaccante. Solo il 4% delle aziende in Italia dichiara di concentrarsi sulle attività di formazione e sensibilizzazione dei dipendenti sui temi di security. Dato preoccupante soprattutto per le aziende per le quali il lavoro da remoto ha sempre rappresentato un’eccezione, che vivono quindi l’attuale trasformazione senza un’adeguata consapevolezza da parte dei dipendenti dei possibili rischi informatici in cui possono incorrere lavorando da casa.
Il sondaggio rileva inoltre che più del 50% degli attacchi significativi subiti nel corso dell’ultimo anno per circa un’azienda italiana su tre è da imputare alla scarsa consapevolezza dei dipendenti. In un contesto dove si registra un preoccupante incremento degli attacchi di phishing che utilizzano come oggetto l’emergenza sanitaria attuale, allo scopo di veicolare file dannosi in grado di interferire e, nei casi più gravi, bloccare il funzionamento dei dispositivi e la disponibilità dei dati aziendali per poi chiedere il pagamento di un riscatto.
Tali minacce possono avere purtroppo anche un impatto su informazioni e strutture vitali per la nostra esistenza. Si sono infatti registrati, anche nelle ultime ore, attacchi a sistemi informatici di ospedali e cliniche universitarie che hanno richiesto il rinvio di interventi e il trasferimento dei pazienti verso strutture differenti: sarebbe quindi devastante l’impatto di un attacco informatico su un sistema già caratterizzato da una estrema carenza di risorse nella gestione dell’attuale emergenza sanitaria.
Quanto stiamo vivendo rende inoltre evidente come sia necessario che le aziende investano su un modello efficace di continuità del business, che preveda piani di gestione della crisi e modalità alternative sia di erogazione dei servizi informatici (“disaster recovery”) sia di approvvigionamento dalle terze parti.
Anche su questo fronte il sondaggio rileva una situazione con ampi spazi di miglioramento: solo il 18% del budget di sicurezza è dedicato alle tematiche di gestione del rischio e di resilienza del business.
Threat Landscape: aumentano le minacce dovute agli attaccanti esterni
Il report rivela che quasi il 51% delle società italiane ha subito uno o più attacchi significativi nel corso dell’ultimo anno, dato in linea con i risultati dell’anno precedente. Il 21% degli stessi è avvenuto a opera di cyber-attivisti, secondi solo ai gruppi di criminalità organizzata ai quali ne sono imputati il 26%. In aggiunta alle minacce provenienti dall’interno (13% per attori malevoli interni, 20% dovute a negligenza del personale), aumenta quindi la rilevanza degli attori esterni che mirano sempre più a destabilizzare le organizzazioni in virtù dell’alta digitalizzazione delle aziende e della loro esposizione.
Cyber security, tecnologie avanzate e prevenzione
Il contesto attuale richiede di puntare su tecnologie quali l’intelligenza artificiale e l’analisi comportamentale, che consentirebbero di ottimizzare la capacità di identificare le vulnerabilità e fronteggiare gli attacchi. Il sondaggio rileva invece che solo il 5% delle aziende dichiara una focalizzazione cyber sulle tecnologie avanzate.
Inoltre, nonostante il forte impatto mediatico dei rischi connessi alla sempre maggiore diffusione dell’internet delle cose (IoT) e della connessione di dispositivi intelligenti, solo il 5% delle aziende ammette che una iniziativa IoT richiederebbe maggiori attenzione e spending in ambito cyber security.
Secondo la survey, soltanto il 19% delle organizzazioni in Italia coinvolge le divisioni di sicurezza informatica fin dalle prime fasi di disegno delle nuove iniziative di business o tecnologiche, allo scopo di comprendere i relativi rischi di sicurezza ed individuare le misure di protezione più adeguate (Security By Design). Più del 20% delle aziende dichiara invece di concentrarsi principalmente sulle attività di detection, ovvero monitoraggio e risposta agli eventi di sicurezza, in linea con la maggiore percezione aziendale del ritorno sugli investimenti (ROI) delle stesse.
In tale scenario un intervento non tempestivo delle funzioni di cyber security ha un impatto sia sui costi sia sull’efficacia delle misure di protezione. Uno degli aspetti in cui le aziende hanno mostrato maggiore incertezza è legato alla dimensione comunicativa e collaborativa, che impatta negativamente l’efficace integrazione della funzione cyber security all’interno dell’ambiente aziendale.
Secondo la ricerca, i team di sicurezza informatica italiani hanno generalmente una buona collaborazione con le funzioni aziendali maggiormente affini – IT, audit, risk e legal – mentre c’è distacco con altre funzioni aziendali. Il 71% degli intervistati afferma che il rapporto tra cyber security e marketing è nella migliore delle ipotesi neutrale, se non inesistente; il 58% afferma lo stesso della collaborazione con la funzione di Ricerca e Sviluppo; il 54% con le linee di business. Oltre la metà dei manager coinvolti nell’indagine (52%) afferma inoltre che anche la collaborazione con l’area finance – dalla quale dipende l’autorizzazione del proprio budget – presenta spesso logiche di contrapposizione.
Il problema dei rapporti di collaborazione delle funzioni di cyber security all’interno delle organizzazioni è soltanto uno dei sintomi dell’integrazione, ancora non organica, delle problematiche legate al rischio cyber nei processi strategico-decisionali delle aziende. Il sondaggio riporta che per 2 aziende su 3 la funzione di cyber security non ha una rappresentanza all’interno del Consiglio di Amministrazione o dell’Executive Management.
Ne discende quindi che il CISO debba farsi carico di portare una nuova visione della cyber security, allo scopo di trasformare la sicurezza da mero costo ad opportunità e fattore abilitante alla protezione degli asset aziendali: solo il 9% degli intervistati afferma di essere in grado di quantificare l’impatto degli incidenti di sicurezza in termini di perdite finanziarie, sottolineando la difficoltà attuale di vedere nella cyber security un fattore strategico per la sopravvivenza delle aziende.
I risultati del sondaggio convergono su un aspetto fondamentale: la necessità delle organizzazioni di rendere la cyber security integrata all’interno di tutti i processi aziendali, sin dalla fase di pianificazione, con un approccio uniforme e trasversale, che permetta di stabilire una cooperazione necessaria tra le funzioni aziendali. È necessario quindi focalizzarsi sulle seguenti azioni:
- Sviluppare azioni concrete nella gestione della cyber security in relazione all’evoluzione della workforce e delle modalità di lavoro smart, tramite piattaforme abilitanti sicure e campagne di sensibilizzazione sui rischi di sicurezza.
- Garantire una gestione efficace della continuità del business, tramite modelli robusti di gestione degli scenari di crisi, di resilienza a livello tecnologico e di gestione dei servizi erogati dalle terze parti.
- Integrare la sicurezza informatica all’interno dei processi aziendali (“Security by design”), sin dalle prime fasi di pianificazione di tutte le iniziative sia di business sia tecnologiche, allo scopo di realizzare servizi più sicuri e meno costosi.
- Eseguire assessment periodici indipendenti del livello di maturità della funzione di cyber security in termini di organizzazione, processi e tecnologie, identificando i rischi cyber specifici dell’organizzazione e confrontandosi con i benchmark settoriali, allo scopo di garantire le necessarie risorse e competenze al CISO.
- Investire su tecnologie e modelli avanzati, come Next Generation Security Operations Center (SOC), Security Orchestration, Automation and Response (SOAR), Intelligenza Artificiale, Robotica e Behavior analytics, allo scopo di ottimizzare le capacità di prevenzione e reazione agli attacchi in constante aumento.
- Implementare un sistema di governance e reporting direzionale basato su una serie di indicatori di performance e di rischio che possa fornire un apporto strategico, organico e informato, a fronte delle minacce che possono interessare le organizzazioni.