Gli impatti della digital economy sulla Cyber Security

Lug 26, 2015
 

 

di Rossella Macinante, Practice leader di NetConsulting cube

 

L’accelerazione che negli ultimi anni ha avuto la diffusione delle tecnologie digitali a tutti i livelli ha moltiplicato anche gli incidenti di security. Furti di dati sensibili e incidenti di sicurezza informatica rientrano ormai a pieno titolo nelle notizie di cronaca dei quotidiani. La Cyber Security rappresenta  un rischio che non può più essere sottovalutato sia da parte delle aziende sia delle organizzazioni governative che risultano particolarmente esposte agli attacchi dei cybercriminali.

Come evidenziato dalla Global State of Information Security 2015 condotta PWC nel 2014 si sono rilevati 42,8 milioni di attacchi con una crescita del 48% rispetto al 2013  e un tasso di crescita medio annuo dal 2009 del 66%: il danno in termini economici è stimato mediamente intorno a 2,7 milioni di dollari.

Gli incidenti di sicurezza worldwide

 

Fonte: The Global State of Information Security Survey 2015, PWC

 

Questo scenario trova riscontro anche in Italia: il rapporto di OAI evidenzia infatti 4 milioni di attacchi nell’ultimo anno, dato che potrebbe essere anche sottostimato se si tiene conto che la maggior parte delle aziende non denunciano gli incidenti.  Malware e social engineering continuano ad essere la tipologia di attacchi più diffusa,  anche se crescono i cosiddetti cryptolocker. Si tratta di un virus (generalmente contenuto in file allegati alle email)  che immediatamente cripta il contenuto delle memorie dei computer e per cui gli hacker richiedono alle vittime un vero e proprio riscatto in bitcoin a fronte del quale poter ricevere un programma di decriptazione e rientrare in possesso dei propri dati.

NetConsulting cube ha da molti anni un osservatorio permanente sul tema della Sicurezza informatica da cui emerge che l’incidenza della spesa in sicurezza informatica sulla spesa IT,   pari al  7, 1% nel 2014, è destinata a crescere ulteriormente nei prossimi anni, per un valore complessivo che nel 2014 è stato di 772 milioni di euro (inclusa la spesa in Disaster recovery e sicurezza fisica), con una crescita del 2% rispetto all’anno precedente.

Fonte: NetConsulting cube 2015

E’ una spesa che si indirizza prevalentemente all’introduzione e all’aggiornamento di strumenti informatici (Anti DDoS, Antispam, web application firewall, solo per citare i principali) e si concentra prevalentemente su grandi aziende e principalmente banche e operatori di Telecomunicazioni.  Si rileva, infatti, sul mercato una carenza di approccio sistemico che, in realtà, può tradursi in un punto di forte vulnerabilità nella lotta contro il cybercrime, laddove spesso gli attacchi verso grandi organizzazioni possono essere effettuati anche a partire da partner/ aziende delle stesse che evidentemente non hanno adeguatamente protetto i propri sistemi.

Il fattore culturale risulta essere una delle criticità principali nelle aziende italiane: oltre all’aumento esponenziale degli attacchi e alla difficoltà da parte dei servizi di sicurezza aziendale di prevenirli, molte minacce si concretizzano per effetto di comportamenti non conformi da parte degli stessi dipendenti, spesso inconsapevoli.  Di conseguenza la formazione in tema di Security assume un ruolo fondamentale per prevenire questi attacchi e fare in modo che i dipendenti abbiano maggiore consapevolezza dei rischi a cui espongono l’azienda, in seguito a comportamenti che potrebbero sembrare in apparenza innocui.

A questo si aggiunga la scarsa sensibilità del Top Management verso il tema della sicurezza, che spesso viene presa in considerazione solo quando ci sono normative che inducono le aziende ad adeguare processi e strumenti e non come un elemento fondamentale per assicurare  la continuità del business. Il risultato è spesso una carenza di budget da indirizzare al rafforzamento dell’IT Security, quando addirittura questo non viene annegato nel Budget IT, e l’assenza di una strategia di Security in grado di proteggere i sistemi in modo efficace e di intraprendere adeguate misure organizzative.

Pertanto, le aziende spesso trascurano gli aspetti organizzativi e tendano a considerare la sicurezza come una tematica tecnica, che deve essere gestita da esperti informatici, che spesso parlano un linguaggio incomprensibile, trascurandone l’impatto su organizzazione e processi.

Solo infatti quando IT, Risk management e Organizzazione instaurano un rapporto di reciproca collaborazione, le politiche e le azioni a supporto della Security possono realmente divenire efficaci.

Laddove l’azienda abbia intrapreso un processo di Digital Trasformation, spesso promosso a livello aziendale dallo stesso imprenditore, declinando le proprie strategie in chiave digital, la Sicurezza non può che essere un fattore abilitante rappresentando uno degli elementi chiave nel disegno di nuovi servizi e processi, da non trascurare se si vuole garantire ai propri clienti una customer experience all’altezza delle aspettative.

Infine, dal momento che la sicurezza ha assunto e assumerà sempre di più un rilievo sistemico, una delle modalità per contrastare in modo più efficace il cyber crime è una condivisione maggiore  delle informazioni, sia da parte di aziende utenti che dei fornitori (non mancano esempi in questo senso). Questo consente di capitalizzare le esperienze e di essere più tempestivi nelle risposte, anche attraverso strumenti di analytics che correlando le informazioni e i dati tra di loro siano in grado di fare un monitoraggio preventivo.

CONDIVIDI L'ARTICOLO SUI SOCIAL

Comments are closed.