A cura di Elena Vaciago, Associate Research Manager, The Innovation Group

L’aumento incessante della digitalizzazione dei processi di business e la necessità di un sempre maggiore livello di collaboration-sharing-networking delle modalità produttive, associati alla globalizzazione e alla “commercializzazione” del cyber- crimine, hanno guidato una maggiore frequenza e gravità degli incidenti informatici e data breaches, attraverso modalità sempre più sofisticate di esecuzione di attacchi mirati al capitale informativo delle aziende.

Lo sviluppo di nuove tecnologie (Internet of Things, mobile Apps, etc.) sta producendo un numero crescente di oggetti fisici connessi a Internet e un maggiore rischio di “permeabilità” dei perimetri aziendali da parte di malicious attackers in grado di identificare le vulnerabilità generate dalla stratificazione di diverse tipologie di tecnologie, non sempre adeguatamente presidiate dalle organizzazioni. I rischi cyber non sono un problema relativo alla funzione ICT dell’azienda ma riguardano tutti gli aspetti della sostenibilità del business e la competitività delle aziende nel lungo periodo, in particolare se con strategie di sviluppo su mercati globali. Nonostante questo, il rischio Cyber sembra essere il più sottovalutato da parte delle imprese, anche in seno alle funzioni che hanno come proprio mandato il compito di supportare il management nel valutare e gestire adeguatamente i rischi nelle scelte strategiche e operative aziendali.

Consci di questo mutevole contesto, Deloitte e The Innovation Group hanno voluto effettuare nel 2015 una survey (Cyber Risk Management Italia v1.0) su un campione di 52 aziende italiane appartenenti ai diversi settori di mercato, per approfondire gli aspetti principali legati alla gestione del rischio Cyber.

I risultati della survey hanno evidenziato una forte preminenza della funzione ICT nella gestione delle tematiche legate ai cyber risk, che sono percepiti ancora principalmente come rischi IT, ma con una positiva tendenza da parte del top management ad interrogarsi sull’identificazione di più modalità di valutazione dei rischi Cyber che siano sempre più complete, quantitative e soprattutto che riescano a descrivere meglio i possibili impatti sul business.

Alla luce di quanto sopra, si nota come le priorità per le aziende si dovranno orientare sempre più verso l’adozione di robuste strutture di governance anche per la cybersecurity, capaci di garantire un completo presidio della materia anche attraverso la costituzione di specifici “momenti” nei quali i comitati di controllo e/o i CdA possano focalizzare la loro attenzione sul tema del Cyber Risk, con la presenza nei Board di Director con competenze in ambito cybersecurity e attraverso l’effettiva adozione di framework strutturati per la gestione dei Cyber Risk (Cyber Risk Management), che a oggi risultano utilizzati in modo estensivo e completo solo dal 35% dei rispondenti. (Figura 1)

Figura 1: Modello adottato per il Cyber Risk Management

Anche se ad oggi questi aspetti non sempre risultano adeguatamente presidiati, la survey rileva delle chiare dichiarazioni di intenti:

• Il 12% delle organizzazioni dichiara di aver istituito un comitato specifico per discutere i rischi cyber; il 39% li gestisce nell’ambito di altri comitati (Comitati Risk & Compliance/CdA) e i momenti di “confronto” con il Board sono limitati.
• La struttura organizzativa per la gestione del cyber risk vede per il 40% delle aziende intervistate la presenza di un CISO e in questi casi il 67% dei CISO riportano al CIO, all’interno dell’unita di ICT operations o in staff allo stesso CIO.
• Nella maggioranza dei casi i rischi cyber non sono inclusi nei reporting considerati dalla funzione preposta al monitoraggio dei rischi aziendali come dei rischi strategici, ma valutati all’interno dei rischi operativi o degli ICT risk (che sommati contano circa il 50% dei casi), oppure non identificati e lasciati in gestione (e visibilità) solo della funzione ICT e resi noti agli executive solo in caso di incidenti rilevanti (che sommati contano circa il 33% dei casi).
• Solo in pochissimi casi sono stati identificati KRI (key risk indicator) per la misurazione del rischio cyber (18%), o metriche allineate con il business (19%) e documentate periodicamente, ma circa il 50% dei rispondenti dichiara di avere un programma di sicurezza come parte integrante dell’ERM aziendale, molto focalizzato sulla protezione del business, in cui l’Information security Management & Reporting è una top priority.
• Al momento una percentuale del 2% del nostro campione fa ricorso a coperture assicurative per il trasferimento del rischio cyber, ma è evidente un interesse in queste forme di trasferimento del rischio.

Dalla survey emerge l’intenzione chiara di investire nei prossimi anni nell’applicazione di un framework di Cyber Risk Management mutuato dalle leading practice internazionali (49% delle risposte), nell’Incident Response (44%) e nell’aumento di consapevolezza degli utenti finali (67%), in linea con quanto indicato anche in Italia da parte del recente Framework Nazionale per la Cyber Security.

 Figura 2: Obiettivi a 3 anni del programma per la Cybersecurity

Nel corso del 2015, all’interno dei piani strategici di cybersecurity delle aziende intervistate, sembrano emergere nuovi ambiti quali ad esempio Measurement e reporting, Advanced Threat Management, Threat intelligence e security analytics, che rispetto al 2014 mostrano un aumento della maturità complessiva e che ci confortano come anche in Italia vi sia una volontà di intraprendere le giuste azioni di sviluppo.

Gli aspetti di cybersecurity si stanno progressivamente inserendo all’interno della vita aziendale, e si nota come gli investimenti relativi stiano crescendo da valori pari al 1 e 2% del totale budget ICT verso valori del 3-5%, ma anche con pochi (circa 10%) dei rispondenti che dedica già il 6 e il 10%. Valutando anche la necessità di crescita di competenze nell’area IOT, i valori sembrerebbero essere sottostimati, considerando il fatto che in tutte le grandi implementazioni infrastrutturali la componente “implicita” risulta essere poco tracciata e visibile.

Lo studio mostra una tendenza progressiva a spostarsi da investimenti in prevenzione verso capacità di monitoraggio e risposta agli eventi cyber, a sviluppare maggiormente la propria Cyber-Resilience. A oggi solo il 48% delle aziende intervistate afferma di avere un processo di Incident Detection abbastanza valido e di queste solo il 16% lo gestisce in maniera ottimale mediante strumenti di monitoraggio (Figura 3).

Figura 3: Processi di Incident Detection solo nella metà delle aziende

Sul processo di Incident Response si rileva invece un maggiore livello di maturità in quanto il 65% delle aziende lo ha opportunamente definito e documentato integrandolo nel Crisis Management, nel piano di Business Continuity o di Disaster Recovery.

Più in dettaglio, i risultati dell’indagine sugli aspetti di monitoraggio, Incident Detection, Management & Response sono:

• Le principali attività svolte per il monitoraggio della security sono gli audit di sicurezza (79%) e i vulnerability assessment/penetration test (79%).
• Aspetti critici sono invece la review dei log applicativi (svolta dal 42% degli intervistati, una percentuale inferiore rispetto a quanti svolgono review su log relativi alle infrastrutture, 61%), oltre che una review delle informazioni ottenibili in caso di incidente (37%).
• Solo il 13% delle aziende afferma di avere soluzioni complete di cybersecurity intelligence per monitorare lo stato della sicurezza informatica.
• Incident Detection: un processo sufficientemente valido per rilevare incidenti, comportamenti anomali e data breaches è adottato solo dal 48% delle aziende del campione. Di queste, solo un 16% lo gestisce in maniera ottimale mediante strumenti di monitoraggio.
• Incident Response: si rileva in questo caso un maggiore livello di maturità in quanto il 65% delle aziende lo ha opportunamente definito e documentato integrandolo nel Crisis Management, nel piano di Business Continuity o di Disaster Recovery dell’organizzazione. Tuttavia, anche per questo ambito rimangono gap da colmare, con un 21% delle aziende che non dispone di un piano di Incident Response.

A cura di: Elena Vaciago, Associate Research Manager, The Innovation Group.

Accedi al canale Cybersecurity per Scaricare il Report completo.