www.pwc.com/cybersecurity Progredire con la Cybersecurity e la Privacy Come le aziende adottano misure di sicurezza innovative per gestire le minacce ed ottenere vantaggi competitivi nell era digitale. Principali risultati di The Global State of Information Security Survey 2017 5
Metodologia The Global State of Information Security Survey 2017 è uno studio a livello mondiale, condotto online da PwC, in collaborazione con CIO e CSO, dal 4 Aprile 2016 al 3 Giugno 2016. Quella del 2016 è la 19esima edizione della survey condotta da PwC, la 14esima in cui sono coinvolti anche CIO e CSO Hanno partecipato alla survey lettori di CSO, CIO e clienti di PwC provenienti da 133 paesi differenti Sono state ricevute risposte da più di 10.000 tra CEO, CFO, CIO, CISO, CSO, VP e direttori di dipartimenti IT e Security Il 48% dei partecipanti appartiene ad organizzazioni con revenue maggiori di 500Mln$ Sono state poste più di 40 domande su argomenti relativi alla Privacy e all Information Security e su come i differenti business possano implementare approcci innovativi in termini di nuove misure di sicurezza Il 34% dei partecipanti appartiene alla regione Nord America, il 31% alla regione Europa, il 20% alla regione Asia Pacific, il 13% alla regione Sud America e il 3% alle regioni Middle East e Africa Il margine di errore stimato sui dati statistici forniti è inferiore al 1%, le percentuali non raggiungono il 100% a causa delle formule di arrotondamento PwC 2
La survey ha coinvolto circa 10.000 partecipanti di 133 country Partecipanti in base alla regione di appartenenza 31% Europa 34% Nord America 20% Asia Pacific PwC 13% Sud America 3% Middle East & Africa 3
I partecipanti sono rappresentati da un mix di executive provenienti dal mondo dell IT security e del business Partecipanti per ruolo / titolo 23% CEO, CFO, COO 20% CISO, CSO, CIO, CTO 12% Compliance, Risk, Privacy 21% IT & Security (Mgmt.) 24% IT & Security (Altro) PwC 4
Organizzazioni coinvolte in base al livello annuale di revenue raggiunte Partecipanti per dimensione delle revenue annuali dell azienda / organizzazione di appartenenza 36% 27% 28% Grandi (> $1B US) Medie ($100M - $1B US) Piccole (<$100M US) 3% 6% PwC Non-profit, Government, Education Altro 5
Dopo consistenti aumenti degli investimenti nel 2015, il budget per l Information Security è rimasto invariato nel 2016 Gli investimenti per la sicurezza sono rimasti invariati nel 2016, ma gli intervistati di 7 settori industriali su 12 hanno dichiarato di avere avuto a disposizione un budget per la sicurezza maggiore rispetto all anno precedente Budget per l Information Security nel 2016 11% $2.8 milioni $4.3 milioni $4.1 milioni $5.1 milioni $5.1 milioni 2012 2013 2014 2015 2016 o più di incremento degli investimenti registrato nei settori Financial Service, Farmaceutico, Healthcare e Automotive (*) Il budget di Information Security si riferisce a fondi specificamente ed esplicitamente dedicati alla sicurezza delle informazioni, compresi costi per hardware, software, servizi, formazione e personale in ambito Information Security. Domanda 7: Qual è il budget totale della funzione IT della sua organizzazione per il 2016? Domanda 8: Qual è il budget totale della sua organizzazione dedicato all Information Security? PwC 6
Quest anno le aziende hanno dato la priorità agli investimenti per iniziative strategiche finalizzate a rafforzare i propri ecosistemi digitali Le priorità relative alla Sicurezza sono relative alla collaborazione interna, alle nuove misure di sicurezza finalizzate all evoluzione dei Modelli di Business e all Internet of Things Priorità di spesa per l Information Security nel 2016 51% 43% 46% 46% 46% 59% Biometria & autenticazione avanzata Digital enterprise architecture Security per l' Internet of Things Nuove esigenze di Maggiore collaborazione sicurezza relative tra business, digital e IT all'evoluzione dei modelli di business degli intervistati sostiene che la digitalizzazione abbia avuto un impatto sugli investimenti in Information Security Domanda 10a_2017: Su quali tipologie di misure di sicurezza la sua organizzazione intende investire nei prossimi 12 mesi? Domanda 10_2017: Quale impatto ha avuto la digitalizzazione dell ecosistema di business sugli investimenti in sicurezza della sua organizzazione? PwC 7
Aumenta la fiducia nei modelli cloud, pertanto le aziende gestiscono i servizi aziendali più critici tramite ambiente cloud I sistemi IT hanno più probabilità di essere eseguiti in ambienti cloud, ma circa un terzo delle aziende affidano a cloud provider anche i servizi connessi a finanza e operation Servizi di business gestiti tramite ambiente cloud 63% 48% 32% 34% 34% 36% di tutti i servizi IT è erogato mediante fornitori di servizi cloud Finance Marketing & sales Customer service Operations IT Domanda Q15_2017: Quali attività di business la sua azienda esegue in ambiente cloud? Domanda Q16_2017: Attualmente, quale percentuale dei servizi IT della sua azienda sono erogati mediante fornitori di servizi cloud? PwC 8
Gli intervistati adottano Managed Security Services (MSS) per estendere e migliorare le proprie capacità in termini di Cybersecurity Le organizzazioni affermano di affidarsi a MSS per iniziative altamente tecniche, quali Authentication, Data Loss Prevention e Identity Management Tipologie di MSS utilizzati 48% 55% 60% 61% 64% 62% degli intervistati utilizza MSS per Cybersecurity e Privacy Threat intelligence Real-time monitoring & analytics Identity & access management Data loss prevention Authentication Domanda 20_2017: La sua organizzazione ricorre a Managed Security Services nell ambito dei programmi di Cybersecurity e Privacy? Domanda 20a_2017: Quali dei seguenti Managed Security Services utilizza la sua organizzazione? PwC 9
Gli intervistati utilizzano software open-source per erogare servizi IT in modo più efficiente e per migliorare la Cybersecurity Più della metà degli intervistati (53%) impiega software open-source e, tra questi, il 49% afferma di aver migliorato il proprio approccio alla Cybersecurity grazie a tali software Impatto dei software open-source 41% 45% 47% 49% 51% 53% Maggiore facilità nel customizzare l'infrastruttura Maggiore interoperabilità con le applicazioni e middleware esistenti Migliorata scalabilità Miglioramenti nella Cybersecurity Maggiore facilità nello sviluppo e nell'implementazione di progetti IT degli intervistati impiega software open - source Domanda 21_2017: La sua organizzazione impiega software open-source al posto di / in aggiunta alle tradizionali infrastrutture software e middleware? Domanda 21a_2017: Che impatto ha avuto sulla sua organizzazione l impiego di software open-source? PwC 10
A causa dell esplosione dell Internet of Things, le organizzazioni stanno aggiornando le proprie contromisure di sicurezza in termini di Cybersecurity e Privacy Le principali iniziative riguardano la data governance, l interconnessione di dispositivi e sistemi e la formazione dei dipendenti. Anche la privacy dei clienti e dei consumatori è un aspetto prioritario Politiche, tecnologie e competenze implementate relativamente a l Internet of Things 32% 34% 35% 35% 37% 46% Standard e politiche uniformi in materia di Cybersecurity e privacy per dispositivi e sistemi IoT Politiche e tecnologie finalizzate alla protezione contro le violazioni della privacy dei clienti e dei consumatori Formazione dei dipendenti sulla sicurezza degli IoT Valutare l'interconnessione e le vulnerabilità di dispositivi e sistemi nell'ecosistema di business Nuove politiche in merito alla raccolta, la conservazione e la cancellazione di dati degli intevistati sta investendo in una strategia di sicurezza per l Internet of Things Domanda 25_2017: Quali politiche, tecnologie e competenze la sua organizzazione intende implementare nei prossimi 12 mesi al fine di indirizzare i rischi di Cybersecurity e Privacy associati all Internet of Things (IoT)? Domanda10A_2017: Su quali misure di sicurezza la sua organizzazione intende investire nei prossimi 12 mesi? PwC 11
Poichè la protezione dei dati diviene un requisito di business sempre più critico, la formazione dei dipendenti è prioritaria Le imprese stanno aggiornando le proprie policy e procedure in materia di Privacy e stanno conducendo Privacy Assessment Principali iniziative privacy nel 2016 30% 31% 32% 36% 38% 56% Big Data, analytics o data de-identification Privacy incident response Privacy assessment Policy e procedure privacy Formazione e sensibilizzazione su tematiche privacy delle imprese richiede ai propri dipendenti di completare la formazione sulla Privacy Domanda 24_2017: Quale dei seguenti progetti, se del caso, la Funzione Privacy della sua organizzazione indirizzerà nei prossimi 12 mesi?» Domanda 10a_2016: «Quali misure di sicurezza ha attualmente in essere la sua organizzazione?» PwC 12
Nel 2016, gli intervistati a livello globale hanno rilevato meno incidenti di information security Solo in cinque settori industriali gli incidenti sono aumentati rispetto allo scorso anno. Si consideri che le aziende incluse nell analisi appartengono sia a settori altamente regolamentati, che investono costantemente nella security e che sono già maturi, sia a settori che stanno lavorando per raggiungere tale livello di maturità Numero medio di incidenti di sicurezza negli ultimi 12 mesi +28% incremento 1,978 +13% incremento 3,741 3,218 +2% incremento 4,938 4,948 +26% incremento +70% incremento 7,674 8,536 6,853 4,782 Industrial products Healthcare payers & providers Financial services Entertainment, media & communications Telecommunicatons * Un incidente di sicurezza è definito come qualsiasi incidente avverso che minacci degli aspetti della sicurezza informatica. Domanda 18: Qual è il numero di incidenti di sicurezza rilevati negli ultimi 12 mesi? PwC 13
Con un numero minore di incidenti di sicurezza rilevati, le perdite finanziarie sono diminuite in media del 6% 9 settori industriali su 12 hanno registrato diminuzioni delle perdite finanziarie a seguito di incidenti di sicurezza. Di questi, 5 settori hanno registrato una riduzione delle perdite del 20% o più Diminuzioni nelle perdite finanziarie totali stimate Retail & consumer Technology -21% -23% -28% $2,1 milioni $2,1 milioni $2,2 milioni Healthcare payers & providers Industrial products -49% $265.333 Power & utilities -89% $265.333-21% Are Diminuzione investing in in media a security delle strategy perdite finanziarie for the Internet tra le grandi of Things aziende Domanda 22a: Perdite finanziarie totali stimate come risultato di tutti gli incidenti di sicurezza PwC 14
Violazione delle email e ransomware hanno i maggiori impatti sul business, mentre il phishing è il principale vettore utilizzato dagli attaccanti Gli intervistati citano la violazione di e-mail aziendali come la principale fonte degli incidenti, mentre il phishing rappresenta il principale vettore di incidenti di Cybersecurity Impatti sul business degli incidenti di sicurezza 22% 23% 23% 26% 38% 17% Ransomware impiantati sui sistemi Furto di proprietà intellettuale "hard" Perdite finanziarie Furto di proprietà intellettuale "soft" Email aziendali violate degli Are investing intervistati a security cita il phishing, strategy for rendendolo the Internet il vettore of Things numero 1 degli incidenti Cyber per il 2016 Domanda 22: In che modo gli incidenti di sicurezza hanno avuto impatto sulla sua organizzazione? Domanda 19: Quali sono le modalità con cui sono avvenuti gli incidenti di sicurezza? PwC 15
I partner commerciali sono ancora la fonte numero 1 degli incidenti di sicurezza Gli incidenti attribuiti agli addetti ai lavori, compresi soggetti terzi di fiducia e dipendenti, sono diminuiti, mentre quelli attribuiti ad estranei sono leggermente aumentati * Probabili fonti stimate di incidenti 44% 41% 34% 2015 2016 41% 29% 29% 28% 23% 26% 21% 23% degli incidenti è attribuito a soggetti terzi, quali partner commerciali Partner commerciali soggetti terzi Dipendenti attuali Ex dipendenti Hacker Competitor (*) I soggetti terzi di fiducia includono fornitori, partner di affari, fornitori correnti e passati, consulenti e aziende appaltatrici Domanda 21: Probabili fonti di incidenti stimate (non sono mostrati tutti i fattori) PwC 16
For more information, please contact: Fabio Merello Associate Partner, Cybersecurity Leader fabio.merello@it.pwc.com Visit www.pwc.com/gsiss2017 to further explore the data. The Global State of Information Security is a registered trademark of International Data Group, Inc. 2016 PricewaterhouseCoopers LLP, a Delaware limited liability partnership. All rights reserved. PwC refers to the United States member firm, and may sometimes refer to the PwC network. Each member firm is a separate legal entity. Please see www.pwc.com/structure for further details. This content is for general information purposes only, and should not be used as a substitute for consultation with professional advisors. PwC 17