INTERVENTO DI IDA CLAUDIA PANETTA IT OR NOT IT.. THAT IS THE QUESTION

Transcript

1 LE PMI ALLA SFIDA DELL INNOVAZIONE E DELLA CYBER SECURITY INTERVENTO DI IDA CLAUDIA PANETTA IT OR NOT IT.. THAT IS THE QUESTION

2 Paradosso Uno dei fattori che induce a non investire in Innovazione nel settore IT è legato alla percezione delle maggiori vulnerabilità Uno dei problemi maggiori legati ai rischi informatici è la sottostima delle vulnerabilità La nostra spada Jedi: informazione. Per decidere con consapevolezza.. Sulla gestione della quale conviene investire. Da proteggere

3 «Nel 2016 gli attacchi informatici avrebbero causato alle imprese italiane danni per 9 miliardi di Euro, ma meno del 20% delle aziende farebbe investimenti adeguati per la protezione del proprio patrimonio informativo. Il settore pubblico non risulta essere molto più efficiente». (Soro) Tra settembre 2015 e settembre 2016 il 45.2% delle imprese italiane ha subito almeno un attacco che ha provocato danni Danno medio per le PMI nel mondo per anno riguarda solo le grandi imprese? Riguarda solo le imprese innovative?

4 Perché non riguarda solo imprese cd. Innovative.. Il 70,7% delle imprese con almeno 10 addetti dispone di un sito web (69% nel 2014); 1 impresa su 4 ha sul sito un link al proprio profilo social mentre il 37,3% utilizza un social media (32% nel 2014), soprattutto per finalità di marketing (29,6%). Sono in aumento le imprese che utilizzano la fatturazione elettronica in un formato adatto all'elaborazione automatica (da 5,4 del 2014 a 15,5% del 2015) e quelle che adottano software specifici per la condivisione interna di informazioni sulla clientela (da 28 a 30,2%). Le competenze digitali all'interno delle imprese presentano alcune criticità, sia per scelte aziendali sia per fattori strutturali legati soprattutto alle ridotte dimensioni d'impresa. La maggioranza degli utenti ha dichiarato di avere competenze di base (36,6%) o basse (31,4%). Il 60,7% delle imprese con almeno 10 addetti ricorre a personale esterno per le funzioni ICT e solo il 12,5% sceglie di svolgerle per lo più con addetti interni all'impresa o al gruppo.

5 Perché riguarda le PMI Le imprese di piccole dimensioni sono attaccate perché..spesso non mantengono il proprio software aggiornato, o mantengono traccia dei loro dati finanziari Minori investimenti e maggiore vulnerabilità tecniche.. Esercitano un minore controllo sul comportamento del personale vulnerabilità umane a volte più pericolose sono un veicolo per colpire imprese più grandi e meglio difese, quindi esse svolgono un ruolo cruciale anche nella difesa dell intero sistema industriale (es. caso Target nel 2013: 40 milioni di numeri di carte di credito e 70 milioni di account degli utenti piccolo fornitore).. in momenti di risorse scarse, i costi sono il maggiore deterrente difficoltà di individuazione e valutazione autonoma delle pratiche quick-win rischio di stimare in maniera errata il costo della messa in sicurezza dei propri asset

6 Principali esempi di Vulnerabilità Tecniche Bug di programmi e sistemi Mancato aggiornamento o errate configurazioni di sistemi di protezione (antivirus, firewall) e sistemi operativi Protezione connessioni (wireless e reti) Umane Uso del mobile Uso dei social network Social engineering Utilizzo di device personali anche a lavoro

7 Attacchi esterni Attacchi Hacking Spam Phishing Spear phishing pharming Dos Defacement Botnet Social engineering Attaccanti Insider Spie industriali Crimine organizzato Wannabe lamer, script kiddie Minacce Frodi Spionaggio Furti di identità Sabotaggio, Furto dati Attacchi sensibili e propr. dimostrativi inte.lettuale Estorsione Interruzione attività per malfunzionamenti

8 Fonte: Zurich Percezione del rischio nelle PMI

9 Ex ante legati alla cyber security Una tantum Dispostivi. Ricorrenti Formazione Personale Aggiornamenti software.. Ass.ni ecc Tipologie di costi Ex post - legati al verificarsi dell evento dannoso Interruzione dell attività Danno reputazionale/di immagine Diffusione di informazioni sensibili (clienti, pazienti, impiegati, fornitori) Violazione informazioni finanziarie; violazione conti bancari Violazione proprietà intellettuale Perdita quote di mercato Appropriazione identità Azioni legali da terzi Ecc. Safe or not safe?

10 Esempio impresa del Piemonte Inviate mail a clienti con fatture originali e segnalazione di cambio IBAN: con la stessa intestazione e riferimenti della ditta piemontese, ma che le fatture riportavano anche l esatto importo che esse dovevano pagare, ciò significa che l azienda italiana in questione aveva subito una violazione nei loro sistemi. Tre aziende clienti pagano erroneamente fatture per un totale di 200 mila dollari Rogatoria internazionale alla Georgia Documenti degli intestatari dei conti falsi = ignoti

11 OBIETTIVI FORMATIVI alla RICERCA di soluzioni operative. MASTER OF SCIENCE IN CYBERSECURITY La laurea magistrale in Cybersecurity dell Università di Roma La Sapienza è la prima laurea magistrale di questo genere offerta in Italia. Il corso di studio si caratterizza per un offerta didattica interdisciplinare che raccoglie contributi dell informatica, dell ingegneria, della statistica, delle scienze giuridico economiche e organizzative, insieme a conoscenze specifiche dei principali domini applicativi di protezione contro i cyberattacchi. In particolare, la laurea magistrale in Cybersecurity offre le conoscenze professionali, sia dal punto di vista tecnologico sia organizzativo sia normativo, necessarie per definire, supervisionare e coordinare i processi di analisi e governo della sicurezza di sistemi ed informazioni nell ambito di infrastrutture informatiche complesse, per organizzare la protezione da cyber-attacchi, attuare i processi di gestione degli incidenti informatici, gestire il recupero in caso di attacco avvenuto con successo, sviluppare attraverso metodologie avanzate software sicuro e, infine, per inquadrare gli aspetti legati alla sicurezza di sistemi e informazioni all interno delle politiche aziendali di gestione del rischio. La forte enfasi su una formazione multidisciplinare sia tecnologica, sia giuridica, sia economica caratterizza l'unicità dei contenuti della laurea magistrale in Cybersecurity, prima in Italia ad offrire all interno di un percorso altamente specializzante, corsi indirizzati all ethical hacking, analisi di malware, digital forensics e security governance. SBOCCHI PROFESSIONALI Forbes, la prestigiosa rivista statunitense di economia e finanza, prevede un milione di posti di lavoro all anno per la cybersecurity in USA. Il parlamento europeo ha adottato nel luglio 2016 la Direttiva sulla cybersecurity dei Network and Information Systems che concede agli stati membri 21 mesi per recepire la direttiva e prescrivere agli enti ed aziende nazionali le norme per attrezzarsi in maniera adeguata alla difesa del cyberspace. Il panorama italiano mostra un ecosistema industriale che inizia oggi a considerare la cybersecurity come un obiettivo imprescindibile su cui investire nei prossimi anni per proteggere i propri asset da minacce che purtroppo già oggi le colpiscono. I recenti investimenti legati ad Industria 4.0 e la rivoluzione dell Internet of Things non faranno altro che accelerare la richiesta da parte del mondo industriale di personale adeguatamente formato sui temi della cybersecurity. D altra parte, tutte le realtà consultate in merito hanno sottolineato la difficoltà di reperire sul mercato del lavoro figure professionali adeguate, soprattutto in rapporto al crescente numero di minacce e tentativi di attacco. Tale status quo ha generato l opinione condivisa che è necessario formare urgentemente professionisti in grado di mantenere e gestire la sicurezza in sistemi informatici complessi, sia dal punto di vista tecnologico che giuridico organizzativo. L istituzione della laurea magistrale in Cybersecurity si pone l obiettivo di colmare questa mancanza creando figure pronte a ricoprire ruoli specializzati di alto profilo nel panorama della cybersecurity. CURRICULA La laurea magistrale in Cybersecurity, erogata completamente ed esclusivamente in lingua Inglese, offre tre orientamenti di studio indirizzati a formare professionisti caratterizzati da competenze differenti: Processes and Governance, Infrastructures and Systems e Software. Tutti gli orientamenti includeranno corsi obbligatori legati ad hacking etico, analisi di malware, aspetti giuridici legati alla cybersecurity, crittografia, digital forensics e governance della sicurezza informatica. Gli orientamenti saranno poi caratterizzati da corsi specialistici su argomenti strettamente legati alla cybersecurity quali Risk Management, Economics of technology and management, Biometric systems, Security in Software Applications, Data and Network Security, Network Infrastructures, Web security and Privacy. INFO - Prof. Luigi V. Mancini (mancini@di.uniroma1.it)

12 Strumenti di autovalutazione Framework Nazionale per la cyber security (CIS report 2015) Qualcosa da cui partire*! NB Una contestualizzazione del Framework dedicata anche alle PMI Guida all implementazione delle subcategory a priorità alta Controlli esseziali di Cyber Security (CIS-CINI CNL report 2016) Un esempio applicativo Strumento operativo per avvicinare le PMI al Framework Nazionale Es Tool realizzato con ASSOLOMBARDA: Semplici domande per valutare il livello di Non è uno standard (non è certificabile) Permette di definire il proprio profilo attuale e il profilo target Aiuta nella definizione della roadmap per passare dal profilo attuale al profilo target

13 Il framework

14 Ex ante legati alla cyber security Azienda tipo 1, 9 dip. settore tech: spese iniziali + spese ricorrenti annuali 5 anni = ; danno medio stimato su 5 anni = ; investimento inferiore del 76% rispetto al danno stimato. Azienda tipo 2, 40 dip sett. trasp. sanitario: spese iniziali + spese ricorrenti annuali 5 anni = ; danno medio stimato su 5 anni = ; investimento inferiore del 41% rispetto al danno stimato. Ipotesi di stima dei costi Ex post - legati al verificarsi dell evento dannoso Danno medio finanziario per PMI /anno stimato da Karpesky lab per costi legati a: recovery perdita di volume di affari tempi di inattività danno d immagine

15 Stima dei costi In 5 anni costo cybersecurity dal 41% al 76% inferiore al danno medio

16 Un messaggio conclusivo Non è possibile rinunciare alle potenzialità offerte dai sistemi informatici e dalla loro interconnessione in rete e all aumento della produttività ed efficienza che l informatizzazione porta con sé. Le minacce cyber non possono certamente essere affrontate rinunciando all IT e alle innovazioni disponibili