Cos'è la Cyber Security, come funziona e come approcciarla - ITmanager.space
Pubblicato: 1 Ottobre 2020  -  Ultimo aggiornamento: 27 Ottobre 2020

Cyber Security: cos’è, applicazioni ed esempi

Cyber Security: cos’è, applicazioni ed esempi

Il termine Cyber Security – o sicurezza informatica – abbraccia quell’insieme complesso di attività, strumenti e regole teso a proteggere, a difendere.

La domanda è: a “che cosa” è diretta l’azione di tale insieme? Protegge il contenitore o il suo contenuto? Difende il sistema oppure i dati che si trovano al suo interno? Quindi… cosa significa esattamente cyber security?

Cos’è e come funziona la Cyber Security

Come premessa, è bene sottolineare che i concetti di “cyber security” e di “sicurezza delle informazioni”, originariamente, rimandano a due facce diverse: la prima è quella della macchina, dell’apparato informatico; la seconda, più fluida, è quella del dato.

La medaglia, però, è una: la sicurezza con la “s” maiuscola, che azzera le distinzioni e che, all’interno di un’organizzazione, si prende cura dei sistemi informatici – inclusi computer, server, reti, dispositivi mobili – e delle informazioni, siano esse cartacee, digitali, sotto forma di file su server o su chiavetta USB o flusso di dati.

Dunque, ogni azienda che voglia proteggere in modo completo le proprie attività e il proprio business, deve poter adottare una strategia in cui sicurezza informatica e sicurezza dei dati camminino insieme.

Strategia che deve avere come obiettivo principe la prevenzione di minacce e di attacchi finalizzati a interrompere, danneggiare – o distruggere del tutto – le funzionalità del sistema informatico e ad accedere in modo non autorizzato ai dati, per manometterli o rubarli.

Le minacce e gli attacchi ai danni di sistemi informatici e di dati sono di diverse tipologie. Innanzitutto, si distinguono quelli intenzionali – provenienti dall’interno dell’azienda (da ex dipendenti oppure da personale ancora in servizio) oppure dall’esterno – e quelli involontari e accidentali, dovuti per lo più a distrazione o inesperienza e a problemi o guasti tecnici interni al sistema stesso.

Phishing, uno tra i più "classici" attacchi informatici
Phishing, uno tra i più “classici” attacchi informatici ancora oggi molto efficace e in gradi di rappresentare un rischio elevato alla sicurezza informatica

Tra gli attacchi informatici intenzionali provenienti dall’esterno dell’azienda, i più comuni sono i DoS (Denial of Service), che mirano a esaurire le risorse del sistema fino a impedirgli di erogare il servizio; il Drive by Download, che agisce tramite l’installazione di un’applicazione dannosa indesiderata, all’insaputa – o senza consenso – dell’utente; il ManInTheMiddle, in cui qualcuno segretamente ritrasmette o altera la comunicazione tra due parti; il Phishing, truffa in cui la vittima viene convinta a fornire informazioni personali, dati finanziari o codici di accesso; Ransomware, un tipo di Malware (originariamente chiamato “virus del computer” o “codice maligno”) che limita l’accesso del sistema infettato, richiedendo un riscatto in denaro per sbloccarlo.

Vediamo un po’ più in dettaglio quali sono le tipologie di minacce alla cyber security.

Le differenti tipologie di minacce

Come accennato, la cyber security ha l’obiettivo di proteggere il cyberspazio dai cyberattacchi, è quindi il pilastro strategico e tecnologico attraverso il quale individuare minacce, vulnerabilità, rischi, attacchi… ma di cosa parliamo esattamente? Quali sono le tipologie di minacce a cui è necessario fare attenzione?

1. Brute force, forzare l’accesso ai sistemi sfruttando le vulnerabilità

Partendo dall’assunto che i cyberattack hanno come scopo quello di introdursi nella rete e nei sistemi informativi aziendali, i modi per riuscire nell’intento sono molteplici. Quello più “tradizionale” è il superamento delle difese di cybersecurity tramite brute force, forza bruta: i cyber criminali trovano il modo di “forzare l’accesso” identificando vulnerabilità nei sistemi, in un software, nella rete, in una piattaforma o un database, penetrando così nei repository in cui sono custoditi i dati dell’azienda.

2. Phishing, le truffe informatiche via e-mail

L’attacco phishing è molto facile da attuare e, nonostante la cultura in termini di cybersecurity nelle aziende (ed anche nella popolazione cittadina) sia notevolmente cresciuta negli ultimi anni, risulta una minaccia ancora molto efficace dal punto di vista di chi la mette in essere.

Il phishing è una minaccia che sfrutta le e-mail per uno scopo di truffa, sia esso convincere le persone a cliccare su alcuni link che rimandano a siti web che contengono malware e spyware sia esso un sistema per recuperare i dati degli utenti (per esempio richiedono credenziali e password di accesso ad un sistema con la scusa che devono essere riconfermati o controllati dall’azienda da cui è apparentemente stata inviata l’e-mail).

Il motivo per cui questa minaccia, ancora oggi, è molto efficace, sta nel fatto che le e-mail sono sempre più curate, risultano veritiere e confondono spesso anche le persone più attente, addirittura ne arrivano anche su account PEC, inducendo in errore molte persone che credono che quelle siano a tutti gli effetti e-mail vere, inviate da un reparto aziendale, da un partner/fornitore, da un’azienda con la quale si fa business, dalla propria banca o da un istituto finanziario…

Un attacco phishing genera quasi sempre un accesso non autorizzato a sistemi IT e dati aziendali e/o dei singoli utenti, un data breach che, secondo le nuove regole del GDPR, deve essere comunicato e gestito tempestivamente.

3. DDoS, gli attacchi Denial of Service distribuiti

Tempestare un sito o un servizio digitale di richieste fino a metterlo ko. Ecco cos’è un attacco DDoS che letteralmente significa negazione (o interruzione) distribuita del servizio (DDoS – Distributed Denial of Service), un sistema di attacco che inoltra traffico in entrata su una risorsa IT (un sito internet, un web server, ecc.) fino ad esaurirla/intasarla, al punto da non poter più erogare i servizi che funzionano con tale risorsa (per esempio la piattaforma eCommerce, oppure il sistema di ticketing o l’help desk, integrata nel sito web dell’azienda).

Quando parliamo di DDoS, o attacco Denial of Service distribuito, ci riferiamo ad una tipologia di attacco tanto semplice da mettere in atto quanto proporzionalmente efficace dal punto di vista del risultato, al punto da mandare il tilt anche aziende con infrastrutture critiche come ospedali o aeroporti.

Lo strumento principale con il quale i cybercriminali sferranno attacchi DDoS è rappresentato dalle cosiddette botnet, reti di computer e dispositivi connessi a Internet (tra i quali anche i più recenti dispositivi IoT) che vengono infettati con un malware – per esempio un trojan, un tipo di malware che si “nasconde” all’interno di un’applicazione o un servizio IT “regolare” che viene infettata con del codice malevolo – per consentirne l’accesso e la gestione da remoto (nonché per renderli parte attiva di questa rete di dispositivi).

Un attacco DDoS, infatti, non è altro che una tempesta di “segnali digitali” – provenienti da più fonti distribuite – “fasulli” che mandano in tilt le risorse informatiche che ricevono tali segnali informatici. L’attacco viene sferrato mandando migliaia e migliaia di richieste di accesso ad una risorsa IT (server, reti di distribuzione, siti internet, web server, server di posta, ecc.), da un’unica sorgente di traffico (per esempio un numero consistente di email in arrivo tutte contemporaneamente al punto da mettere ko il server di posta).

4. Ransomware, i riscatti che preoccupano di più le aziende

Ormai noto come il “pizzo digitale”, il ransomware è un sistema di attacco che consiste nel cifrare e tenere in “ostaggio” i dati delle aziende finché non viene pagato un riscatto (l’attacco sfrutta avanzati sistemi di crittografia per cui dati, informazioni, documenti, cartelle e persino servizi digitali vengono “bloccati” senza consentirne a nessuno l’accesso ed il recupero).

Secondo l’ultimo rapporto 2020 del Clusit, i malware rappresentano ormai da anni le principali minacce per aziende ed organizzazioni sia private sia pubbliche; quasi la metà di tutti i malware in circolazione è determinata proprio dai ransomware (erano un quarto nel 2018, dato inequivocabile che dimostra come stanno evolvendo le tipologie di minacce e la loro distribuzione).

Una delle varianti più dannose di ransomware alle quali abbiamo assistito nel recente passato si è “palesata” nel mese di aprile 2017 quando una variante di “Wannacry” (uno dei ransomware più famosi) ha messo in ginocchio ospedali, ambulanze, aziende private e pubbliche in tutta Europa.

A confermare il quadro tracciato nel rapporto 2020 del Clusit sulla sicurezza ICT in Italia, ci sono le notizie di cronaca del 2020. Enel e Honda sono state colpite ad inizio giugno 2020 dal ransomware Ekans – anagramma di Snake, è un ransomware specializzato per colpire i sistemi di controllo industriale (ICS) – dopo che il ransomware aveva già colpito la grande catena di ospedali europea Fresenius. Poche settimane dopo è arrivata la notizia di un attacco a Geox che ha subìto un ransomware che ha bloccato l’azienda per ben 48 ore.

Stando agli analisti di settore, un attacco malware di questa gravità costa alle organizzazioni aziendali, in media, 4 milioni di Euro (cifra stimata facendo la media degli attacchi solo nel 2019). 

Recentemente, si sono visti con maggiore frequenza i cosiddetti ransomware encryption, attacchi ransomware che colpiscono i backup.

Il più “famoso” di questi ransomware si chiama CryptoLocker (trojan comparso nel tardo 2013, perfezionato poi nel maggio 2017) anche se, dal 2017 ad oggi, i ransomware encryption sono stati perfezionati dai cybercriminali e mirano ad attaccare i NAS – Network Attached Storage e, in generale, i sistemi di backup per limitare le possibilità di recovery alle aziende e aumentare la probabilità di ricevere denaro – come riscatto – per la decriptazione dei file, delle cartelle e dei dati oggetto di attacco.

Secondo alcune recenti analisi, solo negli ultimi mesi del 2019 il numero di modifiche nuove relative agli encryption ransomware è cresciuto di oltre il 150%, segnando poi un nuovo +130% solo a marzo 2020

5. Data breach, la violazione dei dati a seguito di incidenti informatici

Con l’espressione Data Breach si fa riferimento a una violazione di dati o di informazioni digitali in seguito a un incidente informatico. Incidenti che possono essere i più svariati, non solo attacchi malware ma anche errori umani, malfunzionamenti di sistemi, ecc.

Con Data Breach, solitamente, si intende un incidente informatico, di natura colposa o dolosa, che coinvolge informazioni digitali. Il GDPR ne fornisce una descrizione agli articoli 33 e 34 definendolo come “una violazione di sicurezza – accidentale o illecita – che causa la distruzione, la perdita, la modifica, la divulgazione o l’accesso non autorizzato ai dati personali conservati o trattati”.

Il GDPR disciplina il Data Breach prevedendo espressamente un obbligo di notifica e comunicazione in capo al titolare, in presenza di violazioni di dati personali che possano compromettere le libertà e i diritti dei soggetti interessati. 

Sebbene la maggioranza dei Data Breach sia riconducibile ad errori umani, tra gli esempi di Data Breach provocati da attacchi hacker, figura il ransomware, di cui abbiamo trattato nel paragrafo precedente.

Le fasi della cybersecurity

Da che cosa è bene partire per implementare un’efficace strategia di cyber security in azienda? Come definire il piano di sicurezza?

Le linee guida del National Institute of Standard and Technology (NIST), agenzia di governo USA, suggeriscono un approccio articolato in cinque fasi, che rimandano a cinque azioni precise: identificare, proteggere, rilevare, rispondere, ripristinare.

Punto di partenza, indentificare i beni materiali dell’azienda (tra cui tutti i suoi apparati informatici), i suoi beni immateriali (i dati e le informazioni) e le risorse tecnologiche: questo è il patrimonio da difendere. Si procede, poi, con l’analisi e la valutazione delle vulnerabilità degli asset identificati e dei rischi, ovvero di tutti i tipi di pericoli, sia digitali che fisici, che potrebbero minacciarli.

Questa prima fase della definizione della strategia, e del conseguente piano di cyber security, non va mai trascurata, in quanto da essa dipendono la bontà delle fasi successive e il modo in cui l’azienda saprà fare fronte al verificarsi di eventuali incidenti.

Dando priorità agli elementi più critici emersi dall’analisi delle vulnerabilità e dei rischi, si procede quindi con la seconda fase – “proteggere” – che coincide con la scelta e l’applicazione del tipo di protezione più idonea alla specifica struttura aziendale, che va dal semplice antivirus a soluzioni e contromisure più complesse.

Ogni sistema di sicurezza adottato va sottoposto a regolare test di collaudo per rilevarne l’affidabilità e l’efficacia.

Insieme all’audit di sicurezza – oppure in alternanza – è possibile attuare anche ilpenetration test”, vale a dire la valutazione, dall’esterno, del grado di sicurezza del sistema informatico, simulando un vero e proprio attacco hacker.

Penetration test - una fase della sicurezza informatica
Penetration test – una fase della sicurezza informatica

Gli step successivi previsti dal NIST – rispondere e ripristinare – sono in relazione a quanto viene definito nei passi precedenti e prevedono automatismi più o meno sofisticati e procedure semplici oppure complesse.

Ricordiamo che, affinché ogni strategia, ogni piano, possa garantire una corretta e puntuale gestione della sicurezza informatica in azienda, deve rispondere ai principi di “disponibilità dei dati”, “integrità dei dati” e “riservatezza”. Che cosa significa, nel concreto?

Pur prevedendo una riduzione significativa del rischio di intrusioni illecite nel database aziendale e del rischio di furto di dati, il principio di disponibilità deve garantire l’accesso, e l’usabilità dei dati da parte di chi, all’interno dell’azienda, ne ha bisogno nell’ambito delle proprie mansioni e attività.

L’integrità dei dati, invece, è intesa come garanzia che i dati e le informazioni aziendali non siano oggetto di manipolazioni in seguito a errori o azioni volontarie, oltre che a malfunzionamenti o a danni del sistema stesso.

La riservatezza informatica rimanda, infine, alla gestione della sicurezza in maniera tale che l’accesso alle informazioni e il loro utilizzo avvengano in forma lecita e nel rispetto della privacy di ognuno.

Le diverse aree della sicurezza informatica

Insieme complesso di attività, strumenti e regole, la cyber security è chiamata a difesa di tutti gli apparati informatici presenti in azienda – includendo macchine, computer, server, reti, dispositivi mobili – e di tutti i tipi di dati e di informazioni. Ne deriva che le sue aree di intervento sono molteplici, a partire dalla sicurezza delle reti informatiche e dalla sicurezza delle applicazioni.

Se la prima ha come obiettivo la protezione delle reti aziendali da attacchi mirati provenienti dall’esterno, la sicurezza delle applicazioni ha lo scopo di tutelare software e dispositivi. Un’applicazione compromessa, resa debole, infatti, allenta le maglie, consentendo l’accesso libero a informazioni che, al contrario, dovrebbe essere tenere in cassaforte.

La sicurezza delle informazioni, invece, protegge l’integrità e la riservatezza dei dati, sia quelli presenti in archivio che quelli in transito, mentre la sicurezza operativa prevede processi per la gestione e la protezione di tutti gli asset relativi ai dati, dalle autorizzazioni utilizzate per avere accesso alla rete fino alle procedure che specificano in che modo possono essere memorizzati o condivisi i dati.

Con le espressioni “disaster recovery” e “business continuity” si fa riferimento ai piani di cybersecurity con i quali l’azienda reagisce, fa fronte a un crimine informatico e a qualsiasi evento responsabile della perdita di dati.

Più nel dettaglio, le policy di disaster recovery comprendono quelle procedure volte a ripristinare le operazioni e le informazioni dell’azienda prima del cyber crime.

Mentre, la business continuity fa riferimento alla strategia adottata per continuare le proprie attività senza le risorse e le informazioni andate perdute.

La formazione degli utenti è un altro aspetto importante della sicurezza informatica. Chi, all’interno dell’azienda, non segue le procedure di sicurezza e non rispetta la policy definita, ad esempio, corre il rischio di introdurre accidentalmente un virus nel sistema e – non eliminando gli allegati di email sospette o inserendo unità USB non identificate – di causare danni gravi agli asset aziendali.

Le statistiche ci dicono che i problemi di sicurezza IT più comuni – e dannosi – sono dovuti proprio a errori umani da parte dei dipendenti, tra cui la perdita o il furto della chiavetta USB o del portatile contenente informazioni sensibili relative all’attività aziendale.

Il GDPR e la protezione dei dati nell’ambito della cyber security

Entrato in vigore il 25 maggio 2018, il GDPR – General Data Protection Regulation ha segnato un punto di svolta nella gestione della sicurezza dei dati e del loro trattamento in azienda.

Dove, per “dati personali”, il Regolamento UE intende qualsiasi informazione riguardante la persona fisica, identificata – o identificabile – attraverso nome, cognome, codice identificativo, dati relativi alle sue caratteristiche fisiche, fisiologiche, genetiche, psichiche, economiche, culturali o sociali.

GDPR - focus sulla Data Protection
Il GDPR focalizza l’attenzione sulla protezione dei dati, in particolare i dati sensibili delle persone a tutela della loro privacy

Novità assoluta del Regolamento, il fatto di non considerare la normativa privacy pura teoria, ma di affidare a figure specifiche all’interno dell’azienda (titolare e responsabile del trattamento dei dati) il compito della messa in pratica di quanto prescrive: tutte le decisioni in merito vengono demandate a loro, ai quali spetta la definizione di misure tecniche e organizzative atte a garantire un adeguato livello di sicurezza dei dati, sempre coerente con il grado di rischio rilevato.

Si tratta del cosiddetto principio di “accountability”, che prevede l’assunzione di responsabilità, da parte dei soggetti nominati, nell’implementare policy di sicurezza in linea con le caratteristiche della struttura in cui operano e con le sue specifiche esigenze di sicurezza.

A differenza del passato, il legislatore europeo richiede, nella gestione della protezione dei dati, di adottare un approccio fondato su un cambiamento organizzativo e culturale dell’intera struttura delle aziende. Che coda significa? Che, teorie a parte, le impree devono attivarsi per proteggere concretamente i propri sistemi informatici e, dunque, i dati che trattano.

Il titolare e il responsabile del trattamento dei dati devono, innanzitutto, valutare il “rischio informatico”, vale a dire il rischio di danni diretti e indiretti ai sistemi informatici dell’azienda e, conseguentemente, ai dati che essi contengono.

Essere consapevoli dei rischi informatici si traduce, nel concreto, nell’essere preparati all’eventuale manomissione, perdita o, peggio, al furto dei dati. E questo, per ogni azienda, va al di là dell’evitare le sanzioni previste dal GDPR, ma ha a che fare con la protezione del proprio business, dei propri clienti e della propria reputazione sul mercato.

Titolari di azienda e, più in generale, i responsabili della sicurezza informatica, non devono soltanto conoscere quanto previsto dal GDPR. Rispetto al passato, viene richiesto di “fare” mettendo in campo contromisure efficaci per limitare i rischi, dalla perdita accidentale di dati al cybercrime vero e proprio.

L’analisi e la valutazione dei rischi e l’individuazione dei rimedi devono essere parte sostanziale di un processo dinamico e costante nel tempo.

La sfida per le aziende, oggi, è prevenire il crimine informatico, anticipare gli eventi critici e mettere a punto soluzioni concrete che possano garantire la cybersecurity e, al medesimo tempo, la conformità al General Data Protection Regulation.

I dati dell’ultimo Rapporto Clusit sulla sicurezza informatica

Il Rapporto 2020 del Clusit – Associazione Italiana per la Sicurezza Informatica ci restituisce la fotografia di un anno (il 2019) che, a livello globale, è stato il “peggiore di sempre in termini di evoluzione delle minacce cyber e dei relativi impatti, sia dal punto di vista quantitativo che da quello qualitativo, evidenziando un trend persistente di crescita degli attacchi”.

Lo studio – lo ricordiamo – si basa su un campione che, al 31 dicembre 2019, era costituito da 10.087attacchi noti di particolare gravità (di cui 1.670nel 2019), ovvero che hanno avuto un impatto significativo per le vittime in termini di perdite economiche, di danni alla reputazione, di diffusione di dati sensibili, avvenuti nel mondo (inclusa l’Italia) dal primo gennaio 2011.

Dunque, a livello globale, numero di attacchi informatici in crescita, nuove e maggiori tipologie di attacchi ma, soprattutto, nuovi attaccanti. I quali, secondo l’analisi del CLUSIT, non sono più hackers, bensì gruppi criminali organizzati che fatturano miliardi, multinazionali fuori controllo dotate di mezzi illimitati, stati nazionali con i relativi apparati militari e di intelligence, che hanno come bersaglio le infrastrutture, le reti, i server, i client, i dispositivi mobili, gli oggetti IoT, le piattaforme social e di instant messaging.

Analizzando il quadro dal punto di vista quantitativo, complessivamente, rispetto al 2018, il numero di attacchi cyber gravi, nel 2019, è cresciuto del +7,6%, col numero di attacchi più elevato degli ultimi nove anni e con una crescita del +162% rispetto al 2014 (1.383 contro 526).

Rispetto al 2018, in termini assoluti, nel 2019 il numero maggiore di attacchi gravi si osserva verso le categorie Multiple Targets (+29,9%), Online Services/Cloud (+91,5%) ed Healthcare (+17,0%), seguite da “GDO/Retail” (+28,2%), Others (+76,7%), Telco (+54,5%) e Security Industry (+325%).

Riguardo alla distribuzione delle vittime per area geografica, nel 2019 aumentano le vittime di area americana (dal 45% al 46%), mentre gli attacchi verso realtà europee sembrano diminuire (dal 13% al 11%) e diminuiscono anche quelli rilevati contro organizzazioni asiatiche (dal 12% al 9%).

Relativamente alle tecniche di attacco più utilizzate nel 2019, secondo i dati del Clusit, il phishing e il social engineering sono modalità in crescita dell’81%.

Il malware “classico” (originariamente chiamato “virus per computer” e, in italiano, comunemente detto “codice maligno”) è ancora la tecnica più utilizzata (44%), mentre il ransomware (tipo di malware che limita l’accesso del dispositivo che infetta, richiedendo un riscatto in denaro per rimuovere la limitazione) è utilizzato quasi in un attacco su due, in forte crescita rispetto al 2018, quando era utilizzato in un attacco su quattro.

Riguardo, nello specifico, al quadro italiano, il Rapporto 2020 del Clusit presenta, al suo interno, un’analisi di Fastweb che, nel corso del 2019, ha raccolto ed esaminato, attraverso il proprio Security Operations Center, oltre 43 milioni di attacchi informatici (in aumento dell’1% rispetto agli eventi rilevati per il Report 2019) transitati sulla sua infrastruttura.

Dall’analisi degli attacchi sulla propria rete, Fastweb ha rilevato alcuni macro trend, tra cui una forte crescita dei malware ai danni delle utenze domestiche e, rispetto agli anni scorsi, un’importante e positiva riduzione (dal 30% al 7%) degli attacchi di natura DDoS – Distributed Denial of Service (che mirano a esaurire le risorse del sistema, fino a impedirgli di erogare il servizio) verso le Pubbliche Amministrazioni e un aumento dello stesso tipo di attacco verso il mondo del gaming e dei settori finance/insurance.

Il mercato italiano della cyber security

L’Osservatorio Information Security & Privacy della School of Management del Politecnico di Milano, lo scorso febbraio, ha reso noti i risultati di un’indagine sul mercato italiano dell’IT.

Quello che ne emerge è un ritratto rassicurante sotto il profilo della crescita dei volumi, con un valore complessivo che, nel 2019, ha raggiunto i 1,317 miliardi di euro, poco meno dell’11% rispetto all’anno precedente, dopo un +9% nel 2018 e un +12% nel 2017.

In questo quadro, la sicurezza informatica pare essere percepita come un fattore trainante per il successo del business, con un aumento significativo degli investimenti.

Qualche numero: nel 2019, il 52% delle risorse delle aziende prese in esame è stato destinato a soluzioni di sicurezza (in aumento del 26% rispetto al 2018) e il restante 48% ai servizi (in crescita per il 45% delle aziende).

Tra le soluzioni, la categoria che raccoglie la quota principale della spesa riguarda la protezione della rete fisica e logica (36%). In particolare, la protezione degli ambienti Cloud attrae il 13% della spesa ma rappresenta la categoria con la crescita più elevata per il 55% delle aziende prese in esame.

A fine 2019, il 55% delle imprese aveva completato l’adeguamento al GDPR (erano solo il 24% lo scorso anno) e il 61%, oggi, ha all’interno della propria organizzazione un Data Protection Officer. Tuttavia, molto resta ancora da fare.

I dati della ricerca rilevano, infatti, una certa lentezza nell’adottare precisi modelli organizzativi e strategie di gestione della cyber security: nel 40% delle aziende è del tutto assente una figura direzionale dedicata all’Information Security, la cui gestione è affidata ancora al CIO – Chief Information Officer o al responsabile IT.

In più di un quarto del campione di aziende intervistate, inoltre, la figura responsabile della sicurezza riporta all’IT (27%). Sono poche le imprese in cui la funzione Security riporta a una funzione aziendale diversa dall’IT (17%) o direttamente al Board (16%).

Questo scenario non roseo ha come conseguenza una mancanza di soddisfazione riguardo alla questione security, con oltre metà delle imprese che boccia il proprio modello di gestione della sicurezza.

Nel dettaglio, il senso di insoddisfazione è più elevato dove la funzione Security riporta alla divisione IT (65%), mentre scende in quelle realtà in cui il CISO – Chief Information Security Officer riferisce direttamente al Board: in questo caso, il 90% si dice soddisfatto della struttura organizzativa utilizzata.