Cyber Risk Management 2.0 e Trasformazione Digitale delle aziende italiane

Transcript

1 Cyber Risk Management 2.0 e Trasformazione Digitale delle aziende italiane CYBERSECURITY SUMMIT 2017 Milano, 7 Giugno 2017 Elena Vaciago Associate Research Manager, The Innovation Group

2 Epidemia #WannaCry, cosa ci ha insegnato? Debolezze? Sistemi senza patch di sicurezza, mancanza di backup, sistemi operativi scaduti, nessun piano di risposta, IoT security Tra il 12 e il 15 maggio, in tutto il mondo, computer colpiti, in industria, trasporti, sanità, università, settore pubblico, banche, TLC 2

3 Venture Portfolio 2017, la Trasformazione Digitale delle imprese italiane Customer Relation Processi Operativi Business Model Digital Attacker Customer Experience Customer Analysis Digitalizzazione & Workflow Smart Workplace Arricchire Prodotti e Servizi Nuovi Servizi Digitali Customer Touchpoint Performance management Product Platform Digital Foundation: Capabilities e Infrastrutture 3

4 Progetti di Innovazione Digitale: Big Data, Cloud Computing e Mobility ai primi posti In quali dei seguenti ambiti innovativi avete avuto progetti nel 2016 / ne avrete a partire dal 2017? Big Data Technologies Cloud Computing (SaaS) Enterprise AppStore, MDM, MAM Multichannel Customer Engagement Cloud Computing (IaaS, PaaS) Innovazione SW (Agile, DevOps) Internet of Things (IoT, M2M) Stampa in 3D Cognitive Computing, AI Wearable Tech Realtà aumentata, realtà virtuale 5% 3% 3% 10% 6% 19% 17% 16% 9% 20% 10% 12% 10% 30% 28% 23% 11% 18% 20% 24% 20% Nel % A partire dal 2017 Fonte: Digital Business Transformation Survey, TIG, gennaio N = 136 rispondenti LoB Manager + ICT Manager 4

5 Chi guida / chi è coinvolto nella strategia di Digital Transformation Chi è responsabile della strategia di Digital Business Transformation? CEO/COO/Board (alta direzione) CIO/CTO (funzione ICT) 36% 59% Chi sono i Manager coinvolti nella sua azienda in iniziative di Digital Transformation? Board (AD, Presidente, Direttore Generale, CIO/Direttore Sistemi Informativi/IT Manager CTO / Chief Technology Officer 32% 68% 58% CMO (funzione Marketing) 15% Responsabile Risorse Umane, Organizzazione 25% CDO (Chief Digital Officer) o altro ruolo dedicato LoB Manager (altra funzione del Business) Nessuno, non abbiamo una strategia di questo tipo 13% 5% 13% CMO/Digital Marketing Manager Chief Digital Officer Responsabile CRM, Customer Service Direttore Progettazione, R&D Chief Innovation Officer 24% 20% 15% 14% 12% CSO/CISO/Security Manager 12% Fonte: Digital Business Transformation Survey, TIG, gennaio N = 136 rispondenti LoB Manager + ICT Manager Figure poco presenti o coinvolgimento troppo basso Chief Data Officer Risk Manager Audit, Compliance 9% 5% 5% 5

6 Digital Agenda 2017 vs 2016: sicurezza in primo piano, obiettivo da raggiungere per il 47% delle aziende Quali saranno i principali progetti per l IT aziendale nei prossimi 2 anni? Incremento della sicurezza per sistemi, rete e dati aziendali Nuovi sviluppi in ambito BI/Business Analytics Gestione documentale, de-materializzazione 39% Implementazione della mobility per i processi del Business 39% Semplificazione della gestione dell IT, IT Governance 37% Miglioramento della user experience sul front end 36% Maggiore ricorso a piattaforme per la collaborazione (UCC, Social) 31% Consolidamento e riduzione dei costi per le infrastrutture IT 30% Formazione del personale ICT 24% Incrementi di availability e performance a livello di infrastrutture (rete, 24% Modernizzazione del parco applicativo 22% Revisione dei modelli di sourcing (outsourcing, offshoring) 20% 43% 47% Fonte: Digital Business Transformation Survey, TIG, marzo N = 92 rispondenti ICT Manager

7 ma per innovare mancano competenze tecnologiche in più ambiti, e soprattutto servono per la security In quali ambiti andrete a rafforzare le competenze tecnologiche interne nel 2017? Big data / Business analytics Security / resilience Mobile solutions Compliance (es. privacy) Cloud computing Social media / Digital marketing IT Service management / IT Governance Internet of Things API design / management Technical architecture / Enterprise architecture Outsourcing / Vendor management 5% 44% 39% 35% 33% 32% 30% 26% 21% 18% 62% Fonte: Digital Business Transformation Survey, TIG, marzo N = 92 rispondenti ICT Manager

8 CYBER RISK MANAGEMENT SURVEY 2.0 CYBERSECURITY & RISK MANAGEMENT LEADERSHIP PROGRAM 2017

9 Percezione del Rischio Cyber: principali danni per l impresa 1. Struttura Organizzativa Cyber Security & Risk Management Potenziale danno reputazionale Perdita di dati/informazioni dei clienti Fermo dell operatività dovuto a guasto ICT Rischio di non-compliance Perdita di proprietà intellettuale Frode Rischio di controversie legali (a causa ad esempio di danni verso clienti / Perdita di competività Danno fisico a persone/cose Quali sono i 3 rischi principali che maggiormente spingono l azienda a prendere provvedimenti in ambito Cyber Security? % 5% 22% 21% 19% 26% 50% 78% 72% Fermo dell operatività dovuto a guasto ICT Perdita di dati/informazioni dei clienti Potenziale danno reputazionale Rischio di non-compliance Perdita di proprietà intellettuale Rischio di controversie legali (a causa ad esempio di danni verso clienti / Frode Perdita di competività Danno fisico a persone/cose 11% 10% 8% 16% 29% 39% 60% 57% 68% Fonte: Cyber Risk Management Survey, gennaio N = 72 aziende italiane con oltre 50 addetti, confronto con risultati Survey 2015, N = 63 aziende con oltre 50 addetti 9

10 Cyber Security: le principali iniziative nel Struttura Organizzativa Cyber Security & Risk Management Vulnerability assessment/ penetration tests periodici o audit Information security training and awareness Network Security, Web Filtering, VPN, IDS, IPS, Firewall Backup&Recovery/Business continuity Sviluppo/emissione di policy e procedure Information security governance (ruoli, strutture di reporting) Web & Appl Security (Secure Coding, Virtual Patching) Information Security Policies Aggiornamento delle patch automatizzato/centralizzato Mobile security/mdm/mam Garantire i requisiti di Sicurezza / Compliance di Settore Conformità alle normative in ambito InfoSec (e.g., PCI DSS, privacy) IAM, Directory Services, User Provisioning, PM Risk Management / Audit Data Protection (DLP, Database security) 32% 30% 30% 30% 33% 33% 37% 37% 37% 42% 40% 40% 40% 49% 61% Vulnerabilità dei sistemi e delle persone 10

11 Molte delle barriere sono correlate a un eccessivo isolamento della funzione ICT security 2. Cyber Security Program Strategy Le principali barriere incontrate per affrontare le sfide cyber sono: la mancanza di fondi sufficienti e di supporto dal Board, la mancanza di chiarezza, la crescente sofisticazione delle minacce I principali ostacoli alla cybersecurity Mancanza di sufficiente budget e/o risorse Mancanza di supporto da parte della dirigenza e/o del Mancanza di chiarezza su mandato, ruoli e responsabilità Minacce sempre più sofisticate e tecnologie emergenti Complessità dell ambiente organizzativo e tecnico Mancanza di visibilità ed influenza all interno Mancanza di competenze Mancanza di tempo Complessità del panorama giuridico e normativo Inadeguate garanzie di sicurezza da parte delle terze Gestione di Advanced Persistent Threat Altro (Mancanza di una governance globale IT ed ICS) 2% 5% 9% 14% 21% 35% 31% 38% 43% 50% 57% 57% Rispetto a quanto indicato nel 2015, si conferma al primo posto la mancanza di budget e risorse per affrontare questa problematica. Inoltre ora cresce l importanza del supporto del Board, che si vuole sempre più coinvolto su questi temi 11

12 Crypto ransomware al primo posto nel 70% delle aziende intervistate 4. Efficacia del programma di Cyber Security Gli incidenti cyber si sono verificati in generale nel 91% delle aziende solo un 9% non li ha rilevati Nel corso degli ultimi 12 mesi quali dei seguenti incidenti cyber si sono verificati? 70% Crypto-ransomware Phishing & Pharming Codice dannoso (ad es. Virus/worm/spyware) Social engineering Zero-day attacks Data breach provenienti da applicazioni web Data breach provenienti da un attacco di Hacker Frodi finanziarie che coinvolgono i sistemi informatici Data breach provenienti da dispositivi mobili Wireless network breach Data breach provenienti da un attacco fisico/furto Altre forme di security breach Hacktivism Non si sono verificate violazioni Non applicabile/non so 21% 11% 7% 7% 7% 5% 2% 2% 4% 2% 9% 2% 54% 52% Rispetto a quanto misurato nel 2015 (solo il 40% degli intervistati dichiarava di aver subito incidenti cyber oggi il 91%!) c è una maggiore consapevolezza della frequenza di questi incidenti, anche se in gran parte sono riconducibili a 3 categorie di attacco: cryptoransomware, che si è diffuso moltissimo nell ultimo anno, phishing e presenza di malware. 12

13 Cyber Risk management dell Internet of Things (IoT) per 1 azienda su 2 un problema molto diffuso 5. Mettere in sicurezza l Internet delle Cose Il 49% delle aziende afferma di considerare già i rischi dell IoT all interno del proprio framework, o comunque di prevederlo entro breve. Il restante 51% non considera questi rischi rilevanti. 20% Il vostro modello di valutazione dei Cyber Risk tiene conto anche dei componenti IoT? 3% 13% Sì, il framework di cui ci siamo dotati prevede una sezione specifica ICS/IOT e le valutazioni dei rischi sono effettuate anche su apparati IOT/ICS presenti in azienda Sì, ma utilizziamo il framework attualmente in uso effettuandone un estensione anche su apparati ICS presenti in azienda 31% 33% No, non effettuiamo ancora delle valutazioni specifiche, ma pensiamo di introdurle a breve (prossimi 6-12 mesi) No, questa tipologia di apparati non è ritenuto a rischio, in quanto segregati dalle reti legacy aziendali No, e non pensiamo sia un ambito rilevante per la gestione della Cyber Security

14 Ad oggi impegno molto limitato per la Security dell IoT, ma in previsione crescerà moltissimo 5. Mettere in sicurezza l Internet delle Cose Quali delle seguenti azioni e/o misure di sicurezza sono già presenti/previste nella vostra azienda? Intrusion detection per l'iot 28% 30% 43% Skill specifici per lo staff 2% 54% 44% Formazione, security awareness 6% 46% 48% Specifiche su sicurezza IoT per acquisti 15% 37% 48% Policy e procedure ad hoc per la sicurezza dell'iot 9% 43% 48% Anomaly detection per apparati e reti IOT/ICS Integrazione con Risk Management 9% 6% 31% 35% 59% 59% Presente oggi Assessment e/o PT/VA per IoT Modifiche organizzative, integrazione con Cyber Risk Mngt 7% 31% 37% 61% 63% Previsto entro 2 anni Cyber Risk Mngt per gli apparati e reti ICS/IOT Upgrade HW/SW degli ambienti ICS con tecnologie di ultima 6% 7% 31% 28% 63% 65% No e non previsto 14

15 Gli strumenti di detection/monitoring non sono pervasivi 6. Cyber Intelligence, Incident Response & Crisis Management Il 51% delle aziende afferma di avere un processo di Incident Detection abbastanza valido (era il 44% nel 2015) e un 31% lo gestisce in maniera ottimale mediante strumenti di monitoraggio (16% nel 2015) 16% 31% Nella sua azienda sono state stabilite misure efficaci per la rilevazione di un incident / data breach (Incident Detection)? 2% 31% 20% Sono implementati strumenti per il monitoraggio delle infrastrutture endto-end e per riferire comportamenti anomali E definito un processo di Incident Detection in grado di rilevare incidenti e data breaches e ridurre al minimo il loro impatto sul business Il processo di Incident Detection definito è piuttosto limitato Non è definito un processo di Incident Detection Non so

16 Incident Management: attività svolte in caso di Crisi 6. Cyber Intelligence, Incident Response & Crisis Management Quali delle seguenti attività di Incident & Crisis Management sono eseguite/gestite dalla vostra azienda? Analisi degli incidenti con comprensione della fonte 55% Reportistica sugli incidenti 47% Comunicazione con le autorità Comunicazione immediata verso i diretti interessati 40% 38% Test periodico delle procedure di IR e Crisis Mngt Media relation e comunicati stampa 24% 27% Analisi forense Nessuna delle precedenti 16% 26%

17 Ma più di tutto bisognerebbe chiedersi: siamo pronti ad affrontarlo? 17