EY Global Information Security Survey, le aziende rimangono ad alto rischio di attacchi informatici

Frode - Crimine finanziario - Cyber Risk - Furto dati Imc

Frode - Crimine finanziario - Cyber Risk - Furto dati Imc

Secondo la ventesima edizione dell’indagine di EY, le metodologie classiche di attacco hanno ancora successo. Il 65% delle aziende coinvolte nella ricerca ritiene di essere più a rischio di attacchi informatici oggi rispetto a dodici mesi fa. Circa il 90% dei manager intervistati afferma di aver bisogno del 50% di risorse in più per affrontare le crescenti minacce informatiche. Solo il 12% pensa che sarebbe in grado di rilevare un attacco informatico sofisticato con gli strumenti a disposizione. Il malware (64%) e il phishing (64%) sono considerati come le minacce alla sicurezza informatica, seguite dai dipendenti negligenti o inconsapevoli (60%). In Italia il 61% degli intervistati non ha un programma di intelligence per anticipare possibili minacce dall’esterno e il 71% ritiene inadeguata la maturità del proprio sistema di identificazione delle vulnerabilità

Secondo la ventesima edizione della EY Global Information Security Survey (GISS) – Cybersecurity regained: preparing to face cyber attacks – le aziende ritengono di essere oggi in una situazione di elevato rischio di attacchi informatici.

L’indagine, basata sulle interviste a circa 1.200 top manager delle più grandi e riconosciute aziende al mondo, esamina alcune delle loro preoccupazioni più urgenti in tema di cybersecurity e come le stanno affrontando.

Dai risultati emerge chiaramente che la trasformazione digitale, se non gestita, può creare dei rischi: oggi tutte le organizzazioni sono “Digital by Default”. Non tutte operano attraverso canali digitali, evidenziano dal colosso mondiale nei servizi professionali, ma tutte operano con cultura, tecnologie e processi tipici dell’era Internet, in un mondo connesso e convergente reso possibile dall’ Internet of Things (IoT), dove ogni asset tecnologico rappresenta un altro nodo nella rete globale.

Solo il 4% delle organizzazioni prese in esame dichiara di aver considerato tutti gli impatti sulla sicurezza della loro attuale strategia e di monitorare in modo appropriato tutti i rischi rilevanti in tema di minacce cyber e vulnerabilità.

Il 65% degli intervistati ritiene di essere più a rischio oggi rispetto a dodici mesi fa, poiché la rapida accelerazione della connettività, all’interno delle loro organizzazioni globali, ha introdotto nuove vulnerabilità alimentate dalla crescita dell’Internet of Things (IoT).

“Oggi tra i costi diretti ed indiretti che un attacco può causare, vanno considerati anche la perdita di reputazione, le sanzioni come quelle previste dall’ormai imminente entrata in vigore del GDPR, ed anche le conseguenze per le aziende – ha commentato Fabio Cappelli, partner di EY responsabile Cybersecurity per Italia, Spagna e Portogallo –. L’elevato livello di connessione ed il ruolo giocato dall’IoT offrono ai potenziali attaccanti la possibilità di intervenire sul funzionamento dei sistemi industriali e persino su dispositivi che possono porre a rischio la vita delle persone, come ad esempio può accadere negli ospedali”.

I risultati della GISS rivelano che la maggior parte delle organizzazioni (oltre il 90% degli intervistati) quest’anno incrementerà i propri investimenti per la sicurezza informatica: con l’aumento delle minacce informatiche che richiedono una risposta più efficace, l’87% degli intervistati (l’89% in Italia) afferma di aver bisogno del 50% di risorse in più. Tuttavia, solo il 12% prevede di poter contare su un aumento superiore al 25% quest’anno.

Il 76% degli intervistati sostiene che la scoperta di una violazione del sistema informatico che ha causato danni comporta di norma maggiori investimenti in sicurezza. Gli effetti di un attacco informatico non sono tuttavia sempre immediatamente evidenti: il 64% degli intervistati (rispetto al 62% dello scorso anno) afferma che in questi casi la violazione non porta a una maggiore attenzione.

Non si tratta solo di quantità di risorse: molti intervistati riconoscono infatti che la mancanza di un’adeguata allocazione di risorse può aumentare i rischi di attacchi informatici. Il 56% afferma di aver apportato modifiche o sta riesaminando le proprie strategie e i piani per affrontarli. Il 20% degli intervistati ammette però di non avere una comprensione sufficiente delle vulnerabilità – e delle loro implicazioni per la sicurezza delle informazioni – per intraprendere tale revisione.

Aumentano le minacce dovute a malware e dipendenti negligenti

Nell’attuale contesto, evidenziano ancora da EY, le aziende si trovano a fronteggiare molteplici tipi e fonti di attacco, spesso contemporaneamente:

  • Attacchi comuni: utilizzo di vulnerabilità note, con strumenti facilmente reperibili sul mercato e che richiedono poca esperienza;
  • Attacchi avanzati: utilizzo di vulnerabilità complesse e spesso sconosciute, “zero-days”, tool e tecnologie sofisticate;
  • Attacchi emergenti: nuovi vettori di attacco, vulnerabilità abilitate dalle nuove tecnologie; sono attacchi basati su ricerche specifiche che mirano all’identificazione di nuove vulnerabilità.

I recenti attacchi informatici di maggior successo hanno utilizzato metodologie classiche che sfruttano vulnerabilità note.

Il malware (64%, rispetto al 52% nel 2016) ed il phishing (64%, rispetto al 51% dell’anno scorso) sono percepiti come le minacce che hanno maggiormente aumentato l’esposizione delle organizzazioni a rischio negli ultimi dodici mesi. I dipendenti negligenti o inconsapevoli sono considerati la causa principale, ed in aumento, della vulnerabilità delle organizzazioni in tema di sicurezza informatica (60%, contro il 55% nel 2016). Il 77% degli intervistati considera i dipendenti disattenti come la causa più probabile di attacco, seguita dalla criminalità organizzata (56%) e dai dipendenti malintenzionati (47%).

In caso di attacco avanzato – cioè condotto da gruppi sofisticati e ben organizzati – molte aziende sono seriamente preoccupate dell’efficacia dei loro attuali sistemi di sicurezza informatica. Il 75% degli intervistati (il 71% in Italia) valuta il livello di maturità del proprio sistema di identificazione delle vulnerabilità non adeguato. Un ulteriore 12% dichiara di non avere un programma specifico di rilevamento delle violazioni, mentre il 35% (il 42% in Italia) non ha sviluppato un sistema strutturato di policy per la protezione dei dati, ed il 38% (il 41% in Italia) non ha un sistema di gestione dell’identità e di controllo degli accessi al proprio sistema informatico o non ha formalmente definito tale programma.

Cybersecurity and governance

Lo studio di EY mostra anche che gli investimenti in cybersecurity sono più alti nelle organizzazioni che:

  • Hanno addetti alla sicurezza informatica dedicati all’interno delle principali linee di business;
  • Informano almeno due volte l’anno il Consiglio di amministrazione e il Comitato per il controllo interno;
  • Identificano i “gioielli della corona” del proprio sistema IT e li proteggono in modo più accurato.

La GISS evidenzia inoltre che le organizzazioni con un approccio operativo basato su buoni processi di governance, sono in grado di attuare un sistema efficace di sicurezza by design, ovvero sin dalla progettazione.

I risultati della ricerca mostrano tuttavia che c’è ancora molta strada da fare prima che questa diventi una pratica standard. Mentre il 50% degli intervistati dichiara di informare regolarmente il proprio CdA, il 24% afferma che la persona responsabile della sicurezza informatica siede in Consiglio e solo il 17% ritiene che i Consigli abbiano una conoscenza sufficiente della sicurezza delle informazioni per valutare pienamente l’efficacia delle misure preventive.

Il panorama italiano

In Italia, sul piano della prevenzione degli attacchi, il 61% degli intervistati afferma di non avere un programma di intelligence per anticipare possibili minacce dall’esterno. Riguardo alla preparazione necessaria per una gestione efficace dei rischi, il 58% degli intervistati dichiara di aver un livello di maturità poco adeguato in materia di protezione dei dati personali, e il 71% un livello non adeguato di consapevolezza/formazione in materia di sicurezza delle informazioni.

Quanto alla capacità di gestione di un attacco informatico, il 63% degli intervistati nel nostro Paese dichiara di non avere una strategia di comunicazione predefinita e neppure un piano da applicare nel caso in cui l’azienda sia sottoposta ad un attacco informatico con relativa perdita o sottrazione di dati.

Secondo EY, questi dati confermano la necessità di evoluzione degli attuali Security Operations Center (SOC) nelle aziende del nostro Paese, considerato che il 95% degli intervistati dichiara di disporre di un SOC ma che solo il 19% dei recenti incidenti di sicurezza significativi sono stati rilevati da questi. In un contesto dove il tema della gestione e la notifica degli incidenti di sicurezza è sempre più regolamentata e che vivrà proprio nel 2018 un anno cruciale sulla base della piena applicazione del nuovo Regolamento Europeo sulla Protezione dei Dati Personali (GDPR) e del recepimento all’interno degli ordinamenti nazionali della Direttiva NIS (Network and Information Security).

“Riteniamo che in futuro le aziende collaboreranno tra loro per condividere le conoscenze e aumentare la resilienza cyber che ruota attorno a tre principi: proteggere, rilevare e reagire – ha concluso Cappelli –. Questi imperativi sono oggi più importanti che mai: le aziende che comprendono il panorama delle minacce e si concentrano sulla sicurezza sin dalla progettazione, costruendo solide difese, avranno una chance maggiore di annullare gli attacchi, di identificarli prima e di rispondere in maniera efficace”.

Intermedia Channel

Related posts

Top