Barometro Cybersecurity, ancora scarsa la preparazione delle aziende italiane

MILANO - Pur avendo migliorato la propria consapevolezza e gli strumenti di difesa, grazie anche alla pressione esercitata dalla Gdpr, in tema di cybersecurity la maggior parte delle imprese italiane non ha ancora provveduto a sanare alcuni fattori di debolezza importanti.

Giunge a questa conclusione il Barometro Cybersecurity, la ricerca condotta da NetConsultingcube che, sulla base di un sondaggio condotto tra aziende ed enti pubblici italiani (vi hanno partecipato Chief security officer, Chief information security officer, Cio e Responsabili IT di 72 aziende italiane, enti pubblici locali e istituti sanitari pubblici e privati accreditati) traccia un quadro della "maturità" delle aziende in fatto di politiche e tecnologie per la protezione cyber.

Una parte della ricerca è stata dedicata all'analisi degli investimenti. ll budget per la cybersecurity crescerà nel 2019 per il 65% delle aziende italiane; per il 28% si tratterà di un aumento di spesa superiore al 10% rispetto al 2018. Le priorità di investimento sono l’adozione di standard e framework di cybersecurity, seguita dalla formazione del personale, adozione di pratiche di security by design e introduzione di Security&Risk assessment e di Penetration test per valutare la sicurezza di reti e sistemi, i rischi e le vulnerabilità presenti.

Tornando ai risultati dell'indagine, il Cybersecurity Maturity Model  che emerge indica un livello non omogeneo. Il 26% del campione si pone in ambito “risky”, solo il 10% risulta invece adeguato. La maggior parte delle imprese italiane si colloca nel mezzo, ovvero dimostra una preparazione sufficiente, ma con margini di miglioramento.

La posta elettronica rappresenta il primo vettore di attacco nelle imprese intervistate (85% dei casi). I siti web sono il punto di entrata nel 30% dei casi, gli oggetti connessi e i device mobili di proprietà del personale interno (Byod) sono un possibile varco nel 26%. Il fattore umano continua a rappresentare un anello debole non trascurabile sulla catena della sicurezza: alle aziende servono più competenze sul fronte tecnico e formazione delle risorse. Il sondaggio indica anche che l’attività di threat intelligence (raccolta e analisi delle informazioni sull’ambiente, le capacità e le intenzioni degli attori) viene condotta solo dal 38% delle imprese e spesso con team esterni.

La cybersicurezza by design

Le politiche sulla sicurezza e i software di difesa non si applicano a posteriori ma devono essere integrati nei processi di sviluppo e embedded nei nuovi dispositivi connessi: la Internet of Things estende la “superficie d’attacco”. Solo il 22% dei rispondenti richiede ai propri fornitori logiche di IoT security by design, mentre la maggior parte dei responsabili della sicurezza IT ritiene che un gap rilevante sia costituito dall’incapacità di identificare gli attacchi che sfruttano i dispositivi IoT come punto di ingresso.

La cybersicurezza viene fortemente potenziata dall’impiego di tecnologie di intelligenza artificiale e machine learning. Oggi il 17% del panel usa l’AI, ma molti prevedono di ricorrere nei prossimi dodici mesi a intelligenza artificiale e machine learning applicate alla sicurezza, poiché permettono l’analisi predittiva e la difesa preventiva. La diffusione dell’intelligenza artificiale consente anche di ridurre il gap di risorse della struttura organizzativa, delegando alla “macchina” alcune attività di analisi, e di ridurre il tasso di errore.

Per quanto riguarda il versante "consapevolezza", i dati non sono positivi: è indispensabile migliorare il rapporto tra partner, fornitori e clienti in ottica di shared responsibility. La condivisione delle informazioni sugli incidenti subiti è oggi prassi solo per il 37% del campione, che scambia informazioni con soggetti istituzionali (63%) e altri membri di filiera, come partner e fornitori (52%).