op management decisivo nella definizione della strategia di cybersecurity. Gli investimenti nella protezione dai rischi derivanti da attacchi informatici non devono più, infatti, essere considerati come un costo, ma come un elemento chiave per la trasformazione aziendale. In gioco, infatti, la reputazione aziendale e la possibilità di evitare le sanzioni previste dal nuovo regolamento europeo sulla privacy, che entrerà in vigore il 25 maggio prossimo.

Lo afferma Fabio Cappelli, partner EY responsabile cybersecurity per l’Italia, che ha commentato i risultati della ventesima edizione della EY Global information security survey.

Domanda. Riguardo alla situazione delle imprese italiane, in che modo può essere incentivata l’evoluzione dei Security operations center (Soc)?

Risposta. Dalla survey emerge un contesto caratterizzato da aziende che si trovano a fronteggiare molteplici tipi e fonti di attacco, spesso contemporaneamente: comuni tipicamente legati a vulnerabilità note, avanzati che utilizzano vulnerabilità complesse e spesso sconosciute ed emergenti, maggiormente legati a nuovi vettori di attacco e alle nuove tecnologie. Anche quando è possibile prevenire le forme più comuni di attacco, quelli avanzati e gli emergenti possono aver successo: la miglior difesa è quella di identificare le intrusioni più velocemente possibile e rispondere prontamente. Un Soc è un ottimo punto di inizio, in grado di fornire un hub centralizzato, strutturato e coordinato.

D. Avete notato differenze di preparazione/percezione dei rischi tra i vari paesi? In questo senso, le aziende italiane in che posizione si collocano a livello internazionale?

R. La survey conferma un trend non uniforme del panorama italiano che mette ancora una volta in luce la necessità di azioni maggiormente strutturate che possano garantire un percorso finalmente di incremento della maturità in ambito cyber. Riguardo alla preparazione necessaria per una gestione efficace dei rischi, la percentuale degli intervistati, con un livello di maturità poco adeguato in materia di protezione dei dati personali, purtroppo cresce dal 32% del 2016 al 58% del 2017, anche in virtù dei recenti e più stringenti requisiti normativi in ambito Gdpr. Questo dato probabilmente mette in evidenza però più che un peggioramento della situazione, una maggiore consapevolezza.

D. Quali sono le figure chiave, a livello aziendale, che possono contribuire al miglioramento della strategia di prevenzione degli attacchi e di gestione dei rischi? Puntando su quali leve?

R. Il coinvolgimento del top management nella definizione della strategia di cyber security rappresenta un elemento imprescindibile affinché gli obiettivi di business guidino gli investimenti sulla cyber security, che non deve essere più considerata come un costo ma come un elemento abilitante per la trasformazione aziendale. La survey evidenzia che su questo fronte sono ancora molte le azioni da fare: il 50% degli intervistati (solo il 38% in Italia) dichiara di informare regolarmente il Consiglio di amministrazione e solo il 24% (23% in Italia) afferma che la persona responsabile della sicurezza informatica siede in Consiglio. Solo il 17% ritiene infine che i Consigli abbiano una conoscenza sufficiente della sicurezza delle informazioni per valutare pienamente l’efficacia delle misure preventive.

D. Quali sono i vantaggi competitivi per l’impresa che derivano da una corretta strategia di cybersecurity?

R. Oggi tutte le organizzazioni sono «Digital by Default». Non tutte operano attraverso canali digitali, ma tutte operano con cultura, tecnologie e processi tipici dell’era Internet, in un mondo connesso e convergente reso possibile dall’Internet of Things (IoT), dove ogni asset tecnologico rappresenta un altro nodo nella rete globale. In tale contesto la survey conferma un quadro preoccupante: il 65% degli intervistati ritiene di essere più a rischio oggi rispetto a 12 mesi fa, poiché la rapida accelerazione della connettività, all’interno delle loro organizzazioni globali, ha introdotto nuove vulnerabilità alimentate dalla crescita dell’IoT e solo il 4% delle organizzazioni prese in esame dichiara di aver considerato tutti gli impatti sulla sicurezza della loro attuale strategia e di monitorare in modo appropriato tutti i rischi rilevanti in tema di minacce cyber e vulnerabilità. Le evoluzioni digitali risultano quindi asincrone con la necessaria evoluzione delle modalità di protezione.

© Riproduzione riservata

Fonte:
logoitalia oggi7