Security managementSicurezza

INCHIESTA SICUREZZA – La consapevolezza dei rischi e il GDPR, segnali positivi e criticità

Nel 1998 inizia la sua esperienza nel mondo IT in Mondadori e partecipa alla nascita di Web Marketing Tools di cui coordina la redazione. Redattore esperto di software per PC Magazine, e caporedattore di ComputerIdea, segue da circa 20 anni l'evoluzione del mondo hardware, software e dei servizi IT in un confronto continuo con le aziende leader del settore

Parte prima – Abbiamo chiesto a lettori e vendor il loro parere sulla sicurezza, cosa temono, i trend emergenti. Un tema che approda su tavoli di discussione sempre più importanti, con il GDPR oramai in scadenza

Il tema della sicurezza informatica è antico quanto l’IT stessa. Dalle architetture client/server al cloud computing, fino a oggi, che stiamo per entrare nell’era IoT, l’argomento ha accompagnato qualsiasi evoluzione tecnologica. Il malware ha saputo sempre trovare la via per fare danni, mentre a differenza delle origini, parlare di attacchi ‘etici’ è oggi abbastanza ridicolo: siamo nell’era Cyber War, il caso WikiLeaks Vault 7 è il fiore all’occhiello di un sistema di processi di Cyber Intelligence per troppi aspetti ancora sconosciuti. Anche solo limitandoci all’analisi delle problematiche sul malware generato dai cyber criminali, però, gli stessi report sia di agenzie indipendenti sia dei vendor riportano cifre impressionanti.

Nel recente rapporto Clusit 2017 (relativo al 2016)  viene proprio evidenziato come il 72 percento degli attacchi sia di matrice criminale, e come vengano presi di mira comparti come la sanità (in testa alla classifica), la Gdo (70 percento) e ovviamente Banking e Finance (nel 64 percento dei casi). 

Nel 2016 oltre un miliardo di ransomware ha colpito a livello globale, e l’Italia da sola ha subito il 2,40 percento di questi attacchi (fonte Trend Micro), mentre il Bel Paese si è distinto anche tra quelli che hanno scaricato il maggior numero di app con malware: oltre due milioni di applicazioni.

Cifre che rappresentano solo le punte di iceberg molto più grandi e per questo ai piedi dell’articolo troverete report, e fonti per collezionare l’istantanea di un panorama che fa riflettere.

Quello che però è interessante notare è che se ‘parlare di sicurezza‘ già si fa e l’argomento scala tavoli di discussione in azienda sempre più importanti, con CIO, CSO e CEO che finalmente dialogano tra loro, anche Gartner sottolinea come parlare prima e spendere poi per la sicurezza, non siano necessariamente indicatori di maturità, di una vera cultura della sicurezza.

Molte aziende non conoscono il loro vero budget, sul tema, perché gli investimenti in questo senso non sono sempre correlati in modo chiaro, è poi facile caricare sui CISO tutte le responsabilità di quel che accade (lo fa circa un’azienda su due oramai), ma senza permettere loro di avere una visione oggettivamente completa di scenario, mentre gli attaccanti hanno quasi sempre tempi di reazione più veloce rispetto a chi si deve difendere.

Ecco, spendere in sicurezza… Forse oggi, più che in altri tempi,  il tema – giustamente  – allarma e ci sono le condizioni per investire con buonsenso. Secondo IDC il mercato della spesa per la sicurezza IT crescerà in modo quasi esponenziale. Valeva oltre 73 miliardi di dollari nel 2016, varrà oltre 100 miliardi di dollari nel 2020. La consapevolezza che ci sia da lavorare e non poco vale un CAGR con un valore più che doppio rispetto al mercato IT generico.

Banche, manifatturiero e Pubblica amministrazione i comparti più sensibili, ma in proporzione crescerà di più la spesa nel settore sanitario (abbiamo visto quanto sia alta l’esposizione agli attacchi) e in quello delle telecomunicazioni.

La formazione come miglior difesa 

Ecco allora che in questo scenario le risposte dei nostri lettori sul tema pare fotografino quasi ‘in altissima risoluzione‘ il momento di consapevolezza, ma anche di incertezza e verrebbe da dire quasi di parziale inadeguatezza.

Sicurezza IT - Come difendersi
Sicurezza IT – Come difendersi

La minaccia che più di tutte preoccupa, e allo stesso tempo focalizza l’attenzione dei lettori, è il Ransomware, nel 60 percento dei casi, forse anche in relazione al clamore mediatico, tanto più se questa percentuale viene rapportata con l’ultima voce della classifica, quella relativa agli attacchi DDos che pure nel 2016 sono stati devastanti (con un’intensità di punta – fonte Arbor Networks – di 800 Gigabit al secondo, in grado di creare problemi gravissimi anche a un’azienda di grandi dimensioni).

Sicurezza IT - Quali sono le minacce che temete di più?
Sicurezza IT – Quali sono le minacce che temete di più?

Forse perché l’attacco DDos solo in ultima analisi impatta sul “proprio device”? Sì, ma solo in parte -perché i dispositivi IoT cambieranno lo scenario in questa tipologia di attacchi – anche se luci e ombre arrivano da altri quesiti.

Da un lato, per esempio, è comune nei lettori la cultura della protezione del dato ( per il 43 percento è l’asset da difendere) e ben il 48 percento pensa che la formazione sia la migliore delle difese possibili, allo stesso tempo però, quando si tratta di “fare” – per esempio sul tema GDPR – i nodi vengono al pettine e sono nodi grossi se oltre il 40 percento dei lettori che hanno risposto alla nostra poll dice di non avere ancora una strategia, con un altro 44 percento che dichiara di essere in ‘fase di organizzazione’ e appena il 15 percento che si sente pronto.

GDPR - Siete pronti?
GDPR – Siete pronti?

E’ vero che è proprio del costume italiano ‘fare’ all’ultimo, e poi magari stupire. Se è vero che circa un lettore su cinque dichiara che la propria azienda si è affidata semplicemente al fornitore da cui è stato aiutato nell’emergenza ed è ancora il 20 percento ad affidarsi a un unico vendor. Uno su due invece ha preferito valutare e poi scegliere una strategia di difesa cercando il confronto con diversi fornitori e consulenti.

Sicurezza A chi vi affidate
Sicurezza IT – A chi vi affidate?

Le aziende consapevoli si muovono

Ma un buon segnale c’è. E’ sentire comune dei vendor come le aziende, soprattutto le grandi, si stiano muovendo sul tema della sicurezza in modo più coerente rispetto al passato.

Morten Lehn - General Manager Italy di Kaspersky Lab
Morten Lehn – General Manager Italy di Kaspersky Lab

Morten Lehn, General Manager Italy di Kaspersky Lab, porta cifre importanti per argomentare: i dati di un’indagine del vendor russo dicono che il 70 percento delle aziende italiane prevede un aumento nei prossimi tre anni del proprio budget per la sicurezza IT, con il 13 percento che stima un aumento di oltre il 30 percento, mentre la ragione più condivisa di questi investimenti è la necessità di rispondere ai requisiti normativi.

Stime allineate a quelle di FireEye. Marco Rottigni, Consulting System Engineer: “Tre anni fa i budget aziendali quasi non consideravano allocazioni per difesa da attacchi avanzati e la maggior parte delle aziende puntava a rafforzare le barriere tradizionali sul perimetro e sugli endpoint con misure puntuali di difesa dalle minacce note, ora è tutto diverso”

Marco Rottigni
Marco Rottigni – Consulting System Engineer FireEye

David Gubiani, Security Engineering Manager di Check Point Software Technology, va oltre ed evidenzia:“l’istituzione di veri e propri SOC (Security Operations Centers) e la creazione di ruoli specifici nell’ambito dell’IT rappresentano un processo avvenuto in alcuni casi a seguito di necessità legate a norme e regolamenti, in altri alla consapevolezza del rischio in termini di business, di un incidente di sicurezza informatico”.

David Gubiani
David Gubiani – Security Engineering Manager di Check Point Software Technology

Maggiore invece è la fatica per le piccole e medie aziende che, secondo Gubiani“vedono ancora la sicurezza informatica come una parentesi tra le varie soluzioni che “devono” avere per garantire un minimo di controllo, motivo per il quale molte sono bersaglio facile per attacchi informatici di qualunque tipo”.

La problematica “dimensionale” delle aziende è a fattore comune anche nell’intervento di Denis Valter Cassinerio Regional Sales Director di BitDefender che spiega: “Quelle strutturate e con relazione internazionale hanno un livello di maturità superiore, soprattutto grazie alla necessità di adeguamento agli standard previsti dai vari fornitori clienti, più abituati e soggetti a stringenti norme di compliance”.

Luca Mairani - Sr Sales Engineering Forcepoint
Luca Mairani – Sr Sales Engineering Forcepoint

Non solo, secondo Luca Mairani Sr. Sales Engineer ForcePoint: “Nelle prime (le grandi) esiste un livello di consapevolezza superiore rispetto ai rischi ma tradurre i temi della cybersecurity nel linguaggio del top management che è responsabile dell’approvazione del budget non è facile (e torna il discorso di un dialogo tra le figure aziendali iniziato, ma solo in parte maturo).

Nella maggioranza delle seconde (le piccole), invece, le minacce avanzate sono spesso state ritenute qualcosa di estraneo all’azienda e limitato alla realtà americana. Per queste ultime il ransomware avrebbe rappresentato una sorta di campanello di sveglia, perché il furto dei dati, senza compromettere l’operatività quotidiana erroneamente sembra più indolore. 

Cambiano di conseguenza anche i modelli economici relativi. Secondo Trend Micro da un lato la sicurezza è diventata un “costo fisso”.  Non in senso negativo, piuttosto con la sensibilità per cui non sia più possibile una strategia “una tantum”,  e la percezione che nel tempo l’investimento ben indirizzato possa invece addirittura rappresentare un abilitatore tecnologico, un driver per la valorizzazione degli asset.

Vittorio-Bitteleri-Symantec
Vittorio Bitteleri, Head of Sales Enterprise Security Italia di Symantec

Abilitatore tecnologico che sarà sempre più sotto attenzione critica, e infatti, Vittorio Bitteleri, Head of Sales Enterprise Security Italia di Symantec, cerca una prospettiva di lettura per i prossimi anni – la stessa con cui abbiamo aperto l’inchiesta – e sottolinea: “Oggi le aziende ci sembrano più consapevoli dei rischi che potrebbe portare l’affermarsi di Internet of Things o la realtà virtuale anche in ambito lavorativo, con minacce legate all’evoluzione degli uffici, all’avvento di altri dispositivi indossabili o a dispositivi in precedenza sicuri, come ad esempio le auto. Abbiamo quindi visto alcuni miglioramenti, ma c’è ancora molto da fare”.

Aziende più consapevoli quindi, ma non senza criticità. Se ne è accorta Fortinet che nell’analisi di Filippo Monticelli, Regional Director dell’azienda, evidenzia come soprattutto le grandi aziende abbiano inserito sì la sicurezza come elemento importante della strategia complessiva di business, abbiano saputo legare assieme i concetti di business e sicurezza – anche per la dipendenza di tutte le attività dalla disponibilità di dati e applicazioni – ma allo stesso tempo non sempre poi abbiano rimodellato in questa direzione i processi interni, passaggio importante da compiere.

Antonio Pusceddu
Antonio Pusceddu – Country Sales Manager, Corporate Sales di F-Secure

Non si gioca a carte scoperte, per cui la sicurezza è un obiettivo sicuro, perché – e lo spiega Antonio Pusceddu, Country Sales Manager, Corporate Sales di F-Secure – gli attaccanti godono sempre di un primo vantaggio tecnologico, e se decidono un obiettivo è plausibile che prima o poi lo raggiungano. Proprio per questo però, dichiara Pusceddu:“è urgente che tutti noi come comparto (vendors, canale, terze parti) si dimostri più coraggio nel guidare il mondo delle imprese verso le scelte migliori da fare”. 

GDPR, campanello di allarme

Il ransomware, come minaccia assolutamente tangibile e visibile, ha marcato almeno una nota positiva nell’evoluzione della percezione della sicurezza perché, per i suoi effetti, non è possibile fare finta che non ci sia. Non è stato così per anni quando invece le minacce e gli attacchi hanno riguardato furto di identità, credenziali, informazioni e dati, senza intaccare l’operatività quotidiana. In alcune situazioni le aziende attaccate hanno fatto finta di non vedere, in altri casi se ne sono accorte dopo troppo tempo; sono tantissimi i casi di aziende che hanno perso il controllo su informazioni e dati e si sono comportate un po’ come i nani all’arrivo di Biancaneve, nascondendo il problema sotto il tappeto.

Carla Targa
Carla Targa – Sr Marketing e Communication Manager Trend Micro Italia

L’entrata in vigore del GDPR (Regolamento Generale sulla Protezione dei Dati) a Maggio del 2018 dovrebbe spazzare via tutta una serie di ‘cecità’, e allo stesso tempo espone ad altissimi rischi diverse figure all’interno dell’azienda che dovessero permettersi comportamenti di questo tipo, in uno scenario che, secondo le risposte dei nostri lettori, è al momento un poco preoccupante con la metà (quasi) del campione che al problema di adeguamento al “ci sta pensando” e l’altra che “non ha ancora una strategia”.

Tra le altre regole il GDPR richiede la raccolta esclusivamente di dati minimi per l’utilizzo di un servizio, l’informazione per gli utenti dei loro diritti e della possibilità di esercitarli, e l’obbligo della figura di un Data Protection Officer.  

L’Italia è in ritardo: per Symantec le nostre aziende dovranno muoversi a tutta velocità per rispettare i parametri. Il 4 percento di multe sul giro di affari, o 20 milioni di euro a seconda di quale sia il valore maggiore è però uno spauracchio che viviamo ancora secondo i nostri  pigri costumi. Vittorio Bitteleri ci confida come non sia ancora palpabile nelle aziende una piena consapevolezza di cosa questo significhi nell’ambito degli investimenti in tecnologia, in personale specializzato nell’IT e nei processi, così come anche per Fortinet sarà facile prevedere una corsa a mettersi in regola all’ultimo momento.

Filippo Monticelli
Filippo Monticelli – Regional Director Fortinet Italia

Proprio i processi aziendali sono il punto critico. GDPR non è da sottovalutare perché necessariamente sconvolge i processi interni e chi ha iniziato a rivederli sistematicamente si ritroverà avvantaggiato. Monticelli (Fortinet): “Più la sicurezza sarà intrinseca, più sarà facile mettersi in regola, senza contare i vantaggi altrettanto evidenti a livello di protezione, gestione e visibilità”. “Sì il clima è un po’ quello della corsa ai ripari – conferma nella nostra indagine Denis Valter Cassinerio (BitDefender) – corsa anche per introdurre finalmente un diffuso approccio di tipo “Risk Based”.”

Non ci si illuda, ci saranno i ritardatari, e a vincere questa palma sembra esserci (poca sorpresa) la Pubblica Amministrazione con il suo “costante atteggiamento di inadeguatezza rispetto i temi di cui sopra, sintomo di una concreta necessità di maggiore attenzione ed impiego di una più matura governance nella sicurezza delle informazioni”. Insieme ai ritardatari per FireEye ci saranno anche realtà che abbracceranno l’occasione del GDPR per azioni ancora di più ampio respiro, a coprire e modificare aspetti organizzativi finora solo pensati con progetti rimasti sulla carta. 

Vittorio Denis Cassinerio
Denis Valter Cassinerio Regional Sales Director di BitDefender

Sarà interessante vedere l’evoluzione del nuovo decreto emanato dal governo Gentiloni in funzione dell’allineamento con la direttiva NIS, una significativa presa di coscienza per un necessario e forte intervento per la sicurezza cibernetica nazionale. Si intenda, non mancano aree di eccellenza, ma è ancora una volta una questione di processi per cui, secondo Cassinerio, “la struttura stessa della PA rende obbligatorio uno sguardo approfondito ed un vero cambiamento per auspicare un miglioramento evidente nel prossimo futuro a tutti i livelli delle istituzioni”. 

Per i vendor, GDPR resta prima di tutto una buona occasione per allineare tutti gli attori agli stessi nastri di una partenza, con regole, non più minimaliste, chiare ed europee. Mariani di Forcepoint: “Il GDPR ha in primis l’indubbio vantaggio di consentire ai responsabili della sicurezza di implementare sistemi di protezione attivi ed avanzati, superando il concetto di misure minime tanto caro alla legislazione italiana”.

Gastone Nencini - Country Manager Trend Micro italia
Gastone Nencini – Country Manager Trend Micro italia

 Gubiani per Checkpoint valuta come le norme e gli adempimenti obbligatori siano formulati in modo da non lasciare margini di incertezza sul fatto che la sicurezza di tutto il ciclo di vita del dato richieda un’attenzione di primo livello, non solo per i tecnici, ma da parte di tutto il management.

Non solo, secondo Gastone Nencini e la responsabile marketing Carla Targa di Trend Micro “La General Data Protection Regulation concorre a sviluppare ulteriormente la richiesta di una maggiore sicurezza, anche e soprattutto in ottica di protezione dei big data”, in un certo senso con una prontezza quasi inattesa rispetto sviluppo delle tecnologie IT. 


Per saperne di più