Sette aziende su 10 mettono la sicurezza al primo posto
Pagina a cura di Roxy Tomasicchio
La sicurezza informatica sta vivendo i suoi anni più bui: il 2016 era stato definito «l’annus horribilis», primato strappato al 2011 (si veda ItaliaOggi Sette del 29/5/2017), ora l’amaro testimone è passato al primo semestre 2017. Sono stati, infatti, 571 gli attacchi gravi di dominio pubblico, ossia quelli che hanno avuto un impatto significativo per vittime, danni economici, reputazione e diffusione di dati sensibili, al netto, quindi di moltissimi «incidenti minori», che avrebbero inciso sulla omogeneità del confronto. Si registra così una crescita dell’8,35% rispetto al secondo semestre 2016, come riportato dal Rapporto Clusit (Associazione italiana per la sicurezza informatica), presentato a Verona nel corso di Security Summit. Ma è la reazione delle imprese a far ben sperare, oltre all’attenzione che i paesi sviluppati stanno dando al tema: durante il G7 Finance meeting è stata concordata l’adozione di un set di principi non vincolanti ai quale le giurisdizioni nazionali e le imprese del settore finanziario potranno ispirarsi per prevenire il fenomeno.
Da una indagine di Idc sul mercato italiano, che ha coinvolto più di 100 imprese sopra i 50 addetti, appartenenti a diversi settori (dal manifatturiero ai servizi, dal commercio alla pubblica amministrazione, dalle utility fino ai trasporti e alle comunicazioni), emerge che per 7 aziende su 10 la sicurezza informatica va messa al primo posto. Questo vuol dire non solo garantire una elevata qualità dei servizi It, ma anche gestire le business application, sia in termini di innovazione sia di aggiornamento. Ma lo sforzo non sembra ancora essere sufficiente. Infatti, quanto sono disposte a investire le imprese? «Quello che possiamo dire è che nel 2016 stimiamo 972 milioni di euro di spesa in sicurezza informatica da parte delle imprese italiane, di cui solo il 26% da parte delle Pmi. Sono cifre bassissime, considerando la spesa globale in Ict in Italia, che mostrano un ritardo negli investimenti in questo campo», spiega a ItaliaOggi Sette Gabriele Faggioli, responsabile scientifico dell’Osservatorio Information Security & Privacy del Politecnico di Milano e presidente del Clusit, aggiungendo che è difficile quantificare i costi per mettere in sicurezza i dati. «Sicuramente occorre investire in tecnologia, in formazione e servizi gestiti», risponde Faggioli, «ma non si può pensare di essere al sicuro solo intervenendo sul piano tecnologico. Come diciamo da diverso tempo con l’Osservatorio Information Security & Privacy le nuove sfide impongono alle aziende un approccio di lungo periodo alla gestione della sicurezza e della privacy, con una chiara struttura di governo e con figure manageriali codificate per la gestione della sicurezza informatica». Gli fa eco Andrea Zapparoli Manzoni, membro del Comitato direttivo Clusit e tra gli autori del Rapporto 2017: «Nel primo semestre 2017 la cyber insicurezza ha effettuato un ”salto quantico” a livello globale, raggiungendo livelli in precedenza inimmaginabili. Questo a fronte di investimenti in Sicurezza Ict ancora del tutto insufficienti rispetto al valore del mercato di beni e servizi Ict, nonché alla percentuale di pil generato tramite l’applicazione dell’Ict da parte di organizzazioni pubbliche e private e dai privati cittadini». Secondo Zapparoli Manzoni, quindi, è «necessario mettere a punto un nuovo modello di investimenti in cyber security, commisurandoli adeguatamente alle minacce attuali. Pena una crescente e significativa erosione dei benefici attesi dal processo oggi in atto di digitalizzazione della società».
A frenare le imprese c’è sempre la congiuntura economica, tanto che il controllo dei costi è una spia sempre accesa per circa il 60% delle imprese. Tuttavia, almeno nella testa degli It manager, la sicurezza non entra in conflitto con nessun’altra priorità del dipartimento di Information technology, anzi, è forse l’unica garanzia per consolidare qualsiasi altro progetto. Invece, confrontando la sicurezza informatica con le principali priorità di business emergono alcune differenze: in particolare lo sviluppo di nuovi prodotti e servizi (indicato dall’80,5% nel gruppo orientato alla Sicurezza It contro un 68,9% nel campione) e l’ingresso in nuovi mercati (78,5% contro 68,7%), mentre il rapporto si inverte quando la priorità è il cambiamento organizzativo (dove la sicurezza assume un peso inferiore rispetto al campione). A una interpretazione preliminare sarebbe possibile sostenere una qualche forma di associazione tra la Sicurezza It e gli obiettivi di innovazione delle imprese. «Sicurezza It e business sono in stretta correlazione», conferma il presidente di Clusit. «Senza sicurezza qualunque business è destinato a fallire. Oggi quasi tutti i business sono pesantemente digitalizzati e quindi, per definizione, a rischio di attacco».
Sulla quantificazione dei danni, Faggioli conclude dicendo che: «alcuni studi dicono che in Italia i danni nel 2016 per attacchi informatici sono ammontati a circa 9 miliardi. Cioè 10 volte quanto si è speso. Che questi studi siano precisi o meno è irrilevante: quel che certo è evidente che i danni sono molto più alti degli investimenti. E sarà sempre peggio, perché il trend indica minacce crescenti, da cui è necessario difendersi».
Infine un cenno agli obiettivi e tecniche di attacco. Stando al rapporto, la crescita percentuale maggiore di attacchi gravi si osserva verso la categoria dei cosiddetti «Multiple Targets» (+253%), cioè quegli attacchi compiuti in parallelo dallo stesso attaccante contro numerose organizzazioni appartenenti a categorie differenti.
Fonte: