C-Forge 2019
Sicurezza
 

01/03/2019

Share    

di Ruggero Vota

Sicurezza ICT: lo stato dell’arte nelle imprese italiane

Dall’Osservatorio Digitalizzazione promosso da Assolombarda insieme a PwC emerge una maggiore attenzione al tema, ma anche poca propensione ad adottare le best practice più adeguate per proteggere il patrimonio informativo.



Aumenta il grado di consapevolezza e attenzione al tema sicurezza ICT, ma c’è ancora poca convinzione a investire nelle best practice che possono innalzare il livello di protezione dei dati, delle applicazioni e dei sistemi informativi aziendali in generale. È questo il quadro che emerge dalla lettura della ricerca effettuata sul tema della sicurezza ICT promossa da Assolombarda e PwC nell’ambito della prima edizione dell’Osservatorio Digitalizzazione, pubblicato recentemente, per indagare l’impatto delle tecnologie informatiche sui processi produttivi, gestionali e organizzativi presenti in diverse aree aziendali. Questo lavoro ha coinvolto circa 600 imprese che operano nel territorio delle province di Milano, Lodi e Monza e Brianza e all’indagine quantitativa (effettuata nei mesi di giugno e luglio 2018) sono seguiti poi dei focus qualitativi che hanno coinvolto 25 aziende (ottobre e novembre 2018). Per completezza di informazione bisogna specificare che insieme al capitolo dedicato alla sicurezza informatica, l’Osservatorio ha posto la sua attenzione su altri otto temi ritenuti importanti dai promotori dell’iniziativa - dotazione tecnologica e organizzativa, customer management, procurement, ricerca e sviluppo, organizzazione aziendale, smart manufacturing e agevolazioni fiscali - che naturalmente non sono oggetto di questo articolo.
Riteniamo con convinzione che quanto emerso da questa ricerca svolta in un ambito locale, sicuramente importante e significativo nel panorama produttivo nazionale, possa essere specchio anche della realtà delle imprese italiane in senso lato, o comunque in ogni caso dia evidenza a dei trend presenti a livello generale nella realtà italiana. Il campione sul quale è stata svolta l’indagine quantitativa risulta essere composto da aziende dei comparti servizi (43%), manifattura (42%) e commercio (15%). Per quanto riguarda invece le classi dimensionali: le micro imprese (da 0 a 9 addetti) rappresentano il 26% del campione; le piccole imprese (da 10 a 49 addetti) il 39%; le piccole medie (da 50 a 99 addetti) il 13%; le medie grandi (da 100 a 249 addetti) il 12% e le grandi (oltre 250 addetti) il 10%.

Consapevolezza e approccio al tema
La forte differenza di sensibilità, approccio e strumenti messi in campo in relazione al tema sicurezza ICT tra le imprese di diverse dimensioni non è certo una novità, e anche in questa ricerca emerge questa evidenza, anche se in alcuni casi si nota qualche risultato non in linea con quanto si immaginava. Queste discrepanze possono derivare dalla particolare composizione del campione, e quindi tenderebbero ad annullarsi se questo risultasse molto più ampio e variegato, oppure segnalano delle criticità reali che però nella ricerca non sono evidenziate.
Il primo aspetto indagato è quello relativo all’esperienza subita da ogni singola azienda in relazione a fenomeni di cyber crime. Alla domanda se nell’arco di tutta la vita aziendale è stato rilevato almeno un attacco informatico, la totalità del campione ha risposto con il 32% di sì. È un dato che stando al sentire comune degli esperti del settore è sicuramente sotto stimato e probabilmente molti che hanno risposto non hanno voluto esporsi su questo fronte oppure non hanno gli strumenti giusti per rilevare quando si è subito un ‘furto’ di dati che come sappiamo non di sottrazione vera e propria si tratta, ma di semplice copiatura di file, e quindi rimane un’attività molto difficile da rilevare dopo che il fatto è avvenuto.
In ogni caso il 32% ci sembra un buon dato, indice di una maggiore consapevolezza da parte delle aziende italiane su questi temi e anche il fatto di condividere, in forma anonima, questa informazione è indice di un approccio più maturo. Al di là del dato generale se c’era d’aspettarsi un dato basso per le micro imprese (19%), sorprende invece il 32% (uguale dunque alla media di tutto il campione) delle piccole, mentre invece risulta basso rispetto alle aspettative di chi scrive il 40% delle grandi e il 41% delle medio grandi. Due numeri a nostro avviso ‘non veritieri’, in molti forse hanno pensato che rispondere positivamente poteva causare dei danni alla reputazione aziendale...
Detto questo però è molto più interessante notare che ben il 53% di coloro che hanno risposto positivamente lamenta di aver subito da 1 a 5 attacchi solo nel corso degli ultimi 12 mesi. Un dato che individua come una parte del campione generale, comunque ancora piccola visto che si tratta di circa il 17% del totale (ossia un po’ più della metà del 32% delle risposte positive), oggi si può pensare che abbia strumenti tecnologici e metodologie adeguate per le proprie esigenze di sicurezza informatica.

Dotazione di base e analisi del rischio
Molto buona la penetrazione nelle aziende del campione degli strumenti di sicurezza ICT più basilari – sistemi antivirus, firewall e IDS (intrusion detection system) – che risultano adottati quasi dalla totalità del campione (98%). Buono anche il livello di aziende che esegue periodicamente un’analisi del rischio informatico, 81%, ma nella ricerca non viene indicata la frequenza con la quale questa pratica viene svolta in ogni azienda (una volta ogni sei mesi, una volta all’anno, due, tre...). Se c’era d’aspettarsi un risultato elevato su quest’ultimo punto dalle aziende grandi, 98%, sorprende positivamente che anche nelle micro e nelle piccole aziende il tema ‘analisi del rischio’ sia stato affrontato. Il 64% delle risposte positive per la prima categoria e l’81% per la seconda è sicuramente un buon risultato. Semmai c’è da chiedersi come mai siamo di fronte a risposte così positive. Da un lato non si esclude che molte aziende, anche tra quelle di più piccola dimensione, abbiano proceduto con un’analisi del rischio in concomitanza del GDPR; si ricorda infatti che questa indagine è stata svolta nei mesi di giugno e di luglio dell’anno scorso, ossia nel momento in cui il tema era di estrema attualità. Rimane comunque il dubbio che sul concetto ‘analisi del rischio’ non tutte le aziende siano allineate alle best practice di settore o più generali e che quindi in molti casi in realtà ci troviamo di fronte a risposte date con leggerezza da chi presume che la sua azienda, per tipologia di attività o per qualsiasi altra ragione ritenuta valida, difficilmente possa essere preda dell’interesse di attività di pirateria informatica. Questo aspetto è in qualche modo confermato dai ricercatori stessi che hanno fatto presente come negli incontri qualitativi svolti con le imprese sia emersa in modo significativo una sottovalutazione del rischio da parte delle micro e delle piccole imprese. Da questo punto di vista possiamo quindi dire che la ‘cultura della sicurezza’ nelle realtà di più piccole dimensioni deve fare ancora molta strada.

Presenza interna di esperti in security
Il ricorso a esperti di sicurezza presenti all’interno dell’azienda è confermato solo dal 46% delle risposte totali date dal campione (vedi grafico in questa pagina). È sicuramente vero che molte aziende affidano questo incarico a entità esterne sia singoli consulenti sia fornitori di servizi di ‘sicurezza gestita’ in outsourcing (managed security provider, MSP), ma rimane il fatto che il dato appare piuttosto basso, poiché comunque nelle realtà più grandi e strutturate sarebbe meglio, anche se si utilizzano servizi esterni, avere anche personale interno. In questo scenario a nostro avviso è ben più grave il fatto che solo il 73% delle grandi aziende abbia risposto positivamente alla domanda, rispetto al 25% delle micro imprese, che come detto solitamente si affidano a consulenti o a provider di servizi esterni. Da notare una delle discrepanze che si diceva in apertura dell’articolo: le aziende medio piccole (quelle tra i 50 e i 99 dipendenti) che al loro interno hanno una figura specifica per seguire il tema sicurezza sono il 66%, ovvero in modo sostanziale di più delle aziende medio grandi (da 100 a 249 addetti) che si fermano al 61%. Questa discrepanza non viene spiegata nella ricerca pubblicata e quindi non sappiamo se attribuirla a una ragione tecnica legata alla struttura del campione, oppure ad altro.

Imprese di filiera più attente
Rispetto alle risposte date dalla totalità del campione le aziende che dichiarano di partecipare a logiche di filiere si dimostrano in genere più attente e responsabili, di qualsiasi dimensione siano. È così per esempio per il 72% di queste aziende nelle quali risulta essere presente internamente un esperto di sicurezza, nelle aziende che invece non partecipano a filiere questo dato scende drammaticamente al 40%. Le aziende che partecipano a filiere sono il 17% del campione, e questo dato forse per coincidenza è simile alla percentuale di aziende che risultano disporre di strumenti tecnologici e di metodologie adeguate per operare con efficacia nella sicurezza informatica come abbiamo evidenziato in un paragrafo precedente. Non c’è dubbio che quando un’azienda deve lavorare quotidianamente a stretto contatto con partner, clienti e fornitori per raggiungere determinati obiettivi comuni, queste si sentano più responsabilizzate dal punto di vista della sicurezza ICT, e che in determinate filiere per poter essere accettati bisogna comunque rispondere a dei requisiti minimi di protezione del patrimonio informativo aziendale e ‘comune’. Inoltre è probabile che alcune di queste aziende siano chiamate a condividere con i loro partner informazioni anche sul fronte sicurezza e quindi sono portate a ragionare in una logica di ‘linguaggio comune’, se non di adozione di veri e propri standard.

Punto dolente: le certificazioni
Soltanto il 12% delle imprese intervistate possiede una certificazione relativa al mondo cybersecurity, dato generale più basso di tutta la ricerca. Le percentuali sono basse nelle grandi imprese (34%), per non dire nelle piccole (7%) e nelle micro (3%). La situazione è lievemente migliore invece nelle aziende che partecipano a filiere: 38%. Risultato comunque da ritenersi come non soddisfacente. Per spiegare questo dato, i ricercatori che hanno elaborato i dati per questa indagine affermano che l’elevato costo per ottenere questo tipologia di certificazioni sicuramente scoraggia molte imprese a intraprendere questa strada. È una spiegazione sicuramente centrata, ma secondo noi c’è anche dell’altro.
Da un lato sul fronte della sicurezza molte aziende finchè non hanno la necessità di dimostrare al proprio esterno, perché richiesta a vario titolo da attori esterni, la qualità dei loro processi di sicurezza ICT non compiono questo tipo di investimento, sicuramente perché gravoso in termini finanziari, ma anche dal punto di vista del tempo che le persone dovrebbero dedicare a un eventuale processo di certificazione. Dall’altro, invece, in molte aziende si pensa ancora che sviluppare un modello di sicurezza ‘fai da te’, magari nato anche sulla base dell’interazione con fornitori specializzati di tecnologie e servizi, sia la scelta migliore perché ritenuta meno costosa rispetto all’adozione di schemi operativi standard come sono quelli dettati dalle diverse certificazioni disponibili.
Nulla in contrario se la sicurezza ‘fai da te’ nei fatti si traduce in pratiche comunque efficaci a raggiungere l’obiettivo di proteggere al meglio dati, applicazioni e tutte le altre componenti del sistema informativo aziendale. Rimane però il fatto che questo metodo costruisce una ‘sicurezza chiusa’ poco integrabile con i modelli di security eventualmente implementati da altre realtà che in prospettiva possono diventare partner, se non clienti e fornitori, delle proprie attività di business.

Verso la sicurezza condivisa
In conclusione possiamo dire che nelle aziende italiane manca quindi ancora fortemente la consapevolezza che il cyber crime non può essere sconfitto unicamente operando bene per proprio conto, nel ‘proprio orticello’, ma che questo impegno sempre di più richiederà di riunire le proprie forze anche con soggetti di business, ma soprattutto istituzionali, che traguardano lo stesso obiettivo. È quest’ultimo un fattore che invece è emerso con forza da una recente ricerca svolta a livello internazionale da Accenture che ha coinvolto oltre 1.700 CEO e top manager di aziende operanti in molti Paesi di tutto il mondo (titolo del report: ‘Securing the digital economy: reinventing the Internet for trust’).
In questa si legge che tre quarti degli intervistati (il 75% del campione) ritiene che sia necessario uno sforzo congiunto per far fronte alle sfide in materia di cybersecurity, “in quanto nessuna organizzazione è in grado di risolvere il problema da sola”. Più della metà del campione (56%) si dichiara sempre più preoccupata su questo fronte e vedrebbe con favore l’entrata in vigore di norme di business più rigorose che dovrebbero essere introdotte da istituzioni e/o autorità governative.
È quanto da tempo sta predisponendo l’Unione Europea attraverso la proposta del Cybersecurity Act avviata nel 2017. Il cantiere è ancora aperto e l’Unione Europea auspica che per la fine dell’attuale legislatura del Parlamento di Strasburgo tutti i negoziati sulle proposte in corso vengano finalizzati. Con la prossima legislatura del Parlamento Europeo, che prenderà il via da maggio di quest’anno, il tema di una cybersecurity condivisa e collaborativa, non solo tra gli Stati (come già accade dal 2016 grazie alla direttiva NIS) ma che coinvolga anche i soggetti economici entrerà quindi all’ordine del giorno della discussione della nuova assemblea. Quanto ci vorrà per arrivare a un direttiva simile a quella del GDPR oggi nessuno può ancora prevederlo, ma certamente si può dire che la strada intrapresa va nella direzione di una sicurezza ICT condivisa tra più soggetti.

 

TORNA INDIETRO >>