Cybersecurity, come difendersi dal furto dati

Transcript

1 Osservatorio Information Security & Privacy Cybersecurity, come difendersi dal furto dati Giorgia Dragoni Ricercatrice Osservatorio Information Security & Privacy, Politecnico di Milano 09 Maggio 2017

2 L Osservatorio Information Security & Privacy Gli obiettivi della Ricerca Quantificare il mercato della sicurezza informatica in Italia Indagare come i nuovi trend dell innovazione digitali come il Cloud, i Big Data, l Internet of Things e il Mobile impattano sulla gestione dell information security e della privacy Identificare le principali tendenze internazionali in ambito information security & privacy Comprendere l impatto del Regolamento UE sulla privacy Monitorare lo stato di adozione di sistemi di Information Security e privacy nelle organizzazioni italiane Studiare gli impatti sulle grandi imprese e sulle PMI Identificare i casi di successo

3 L Osservatorio Information Security & Privacy La ricerca 2016 Panel di riferimento Manufacturing 12% 14% 6% 5% 148 Grandi imprese 14% 15% 34% 2% 2% 2%10% 15% 15% 803 PMI 54% Servizi Retail e GDO Finance PA e Sanità Utility Media e Telco Campione : 148 grandi imprese (>249 addetti) e 803 PMI (tra i 10 e i 249 addetti)

4 Il contesto di riferimento L anno degli attacchi

5 Il contesto di riferimento Le variabili in gioco Minacce Fonti di attacco Vulnerabilità Dati

6 Il contesto di riferimento Le minacce Spam Attacchi Ransomware Phishing Malware Frodi Furto o perdita device Interruzione di servizio Campione : 116 rispondenti

7 Il contesto di riferimento Le fonti di attacco Lavoratori attuali Ex lavoratori Competitor Associazioni criminali Interne Esterne Collaboratori diretti Provider di servizio IT Hacktivist Campione : 124 rispondenti

8 Il contesto di riferimento Le principali vulnerabilità 78% 56% 47% Inconsapevolezza rispetto alle policy aziendali Distrazione delle persone Accesso in mobilità alle informazioni 33% 18% Presenza di device mobile personali (BYOD) Architettura IT obsoleta Campione : 125 rispondenti

9 49% Informazioni operative interne Informazioni sul personale / HR 12% Il contesto di riferimento I dati oggetto di attacco Proprietà industriale (es. Brevetti) 22% Credenziali di accesso ad account bancari 23% 12% 12% Competitive intelligence o market intelligence 19% 9% 20% 36% Informazioni Campione : 101 rispondenti Informazioni sui clienti 59% 21% Informazioni finanziarie 38% 12% Price-sensitive Informazioni sui pagamenti 30% 21% 13% 15% Informazioni inerenti gare in corso 23% 9% Dati ritenuti più critici Dati persi/trafugati

10 49% Informazioni operative interne Informazioni sul personale / HR 12% Il contesto di riferimento I dati oggetto di attacco Proprietà industriale (es. Brevetti) 22% Credenziali di accesso ad account bancari 23% 12% 12% Competitive intelligence o market intelligence 19% 9% 20% 36% Informazioni Campione : 101 rispondenti Informazioni sui clienti 59% 21% Informazioni finanziarie 38% 12% Price-sensitive Informazioni sui pagamenti 30% 21% 13% 15% Informazioni inerenti gare in corso 23% 9% Dati ritenuti più critici Dati persi/trafugati

11 La maturità delle imprese e lo scenario di mercato Il mercato della Security: cresce però 26% Grandi Imprese PMI 926 mln +5% 972 mln 74%

12 La maturità delle imprese e lo scenario di mercato Scarsa consapevolezza organizzativa CISO A CHI RIPORTA 28% 5% 6% 2%4% 4% 46% 7% 9% 12% 65% 10% Figura formalizzata Presente, ma non formalmente In introduzione Responsabilità del CIO Responsabilità di altra funzione CIO Board Sicurezza Risk Operations Finance Compliance Altro

13 La maturità delle imprese e lo scenario di mercato Scarsa consapevolezza organizzativa DPO 34% 2% 18% 15% Figura formalizzata Presente, ma non formalmente In introduzione nei prossimi 12 mesi Non previsto entro 12 mesi Responsabilità demandata all esterno 31% Campione: 146 aziende

14 La maturità delle imprese e lo scenario di mercato Le iniziative di sensibilizzazione 78% 66% 28% Comunicazioni tramite mail periodiche Corsi di formazione Distribuzione materiale informativo 28% 28% Progetti strutturati di sensibilizzazione Vulnerability assessment sui dipendenti Campione: 145 aziende

15 Tecnologia Le scelte di information security I progetti e le policy DATA APPLICATION NETWORK REGOLAM. POLICY WEB SIEM ENDPOINT PENETRATION TEST BYOD THREAT INTELLIGENCE IDENTITY GOVERNANCE MESSAGING SOCIAL MEDIA E WEB ACCESSI LOGICI CLASSIFICA ZIONE DATI TRANSACTION CRIPTAZIONE DATI CICLO DI VITA DEL DATO SOCIAL MEDIA UTILIZZO CLOUD BACKUP INCIDENT RESPONSE Regole

16 Tecnologia Le scelte di information security I progetti e le policy DATA Cyber Insurance APPLICATION NETWORK REGOLAM. POLICY WEB SIEM ENDPOINT PENETRATION TEST IOT BYOD THREAT INTELLIGENCE IDENTITY GOVERNANCE MESSAGING SOCIAL MEDIA E WEB Analytics CLASSIFICA ZIONE DATI Cloud ACCESSI LOGICI SOCIAL MEDIA TRANSACTION UTILIZZO CLOUD CRIPTAZIONE Mobile DATI CICLO DI VITA DEL DATO BACKUP INCIDENT RESPONSE Regole

17 Il GDPR: la readiness delle grandi imprese Le misure di adeguamento Le implicazioni del GDPR non sono note in dettaglio 23% 22% Le implicazioni sono note nelle funzioni specialistiche ma non è ancora un tema all attenzione del vertice E in corso progetto strutturato di adeguamento alla normativa 9% 46% E in corso un analisi dei requisiti richiesti e dei piani di attuazione possibili Campione: 136 aziende

18 Il GDPR: la readiness delle grandi imprese L orizzonte di pianificazione Non esiste un budget dedicato 50% 35% Attualmente non esiste ma sarà stanziato nei prossimi 6 mesi Esiste con orizzonte pluriennale 7% 8% Esiste con orizzonte annuale Campione: 135 aziende

19 L analisi delle PMI Le motivazioni che guidano la spesa PMI 26% 93% HA N N O 972 mln 74% SPESO NEL 2016 Dati ottenuti tramite un elaborazione statistica di un campione di 803 PMI

20 L analisi delle PMI Le motivazioni che guidano la spesa ESIGENZE DI ADEGUAMENTO NORMATIVO AT T A C C H I SU B IT I IN PASSATO NUOVE ESIGENZE DI BUSINESS NUOVE ESIGENZE TECNOLOGICHE Dati ottenuti tramite un elaborazione statistica di un campione di 803 PMI

21 Tecnologia L analisi delle PMI Lo stato di maturità 62% Soluzioni avanzate Soluzioni base 76% Awareness Policy 25% 46% 10% Buon senso Persone Dati ottenuti tramite un elaborazione statistica di un campione di 803 PMI

22 La Ricerca Conclusioni Le priorità per il 2017 Sviluppare modelli di governance maturi con l identificazione del corretto mix di competenze necessario Aumentare le azioni di sensibilizzazione del fattore umano Spostare la focalizzazione sugli aspetti di rilevazione, risposta e ripristino rispetto all identificazione e alla prevenzione Comprendere implicazioni GDPR nella progettazione dei sistemi di security

23 Osservatorio Information Security & Privacy Contatti: 09 Maggio 2017