I titoli dei giornali vanno agli attacchi del Cyber Crime, ma alla fine la Compliance \u00e8 ancora la principale leva di spesa in Sicurezza IT, almeno per le PMI. E’ quanto emerge dalla Ricerca 2016 dell’Osservatorio Information Security & Privacy della School of Management del Politecnico di Milano, presentata il 2\/2 al convegno “Cyber Crime: la minaccia invisibile che cambia il mondo”.<\/p>\n
Alessandro Piva (Direttore dell’Osservatorio) ha passato in rassegna il mercato italiano della IT Security, che vede una crescita del 5% (allineato alla media mondiale), continua ad essere concentrato sulle grandi aziende (74% della spesa) ma mostra segnali di consapevolezza anche da parte delle PMI, il 93% delle quali ha speso qualcosa; poco, ma hanno speso, per cui vorr\u00e0 dire che almeno si sono poste il problema. L’aspetto preoccupante che sembra emergere \u00e8 l’approccio tradizionale della maggior parte delle attivit\u00e0: identity management, identificazione degli attacchi, analisi di processo convenzionali; assenza insomma di iniziative innovative. Scarsa anche la consapevolezza organizzativa: ancora pochi i CISO, la maggior parte dei quali risponde agli IT manager. Inadeguate anche le misure di sensibilizzazione: quasi tutte le grandi imprese ne fanno, ma in larga misura si tratta di mail periodiche; solo il 28% ha in campo progetti strutturati di sensibilizzazione o vulnerability assessment sui dipendenti.<\/p>\n
Cinque aspetti (cloud, mobile, IOT, intelligence e insurance) sono stati approfonditi dalla Ricerca. Nel CLOUD prevale un atteggiamento difensivo, che dubitando della sua affidabilit\u00e0 sotto il profilo sicurezza ne limita l’utilizzo. La scarsa visibilit\u00e0 sulle policy attuate dai fornitori (e su eventuali attacchi subiti e non dichiarati dai provider) resta un impedimento, che sembra tuttavia in fase di superamento grazie alla maturit\u00e0 delle garanzie presentate dall’offerta.\u00a0Nel MOBILE la grande pervasivit\u00e0 dello smart working ha spinto\u00a0correttamente\u00a0le imprese ad adottare largamente soluzioni MDM ed a considerare adeguatamente il fattore umano. Il tema della sicurezza per l’IOT \u00e8 molto dibattuto (40% in valutazione) ma ha condotto sinora all’adozione di poche misure (13% in azione). Sul terreno della CYBER INTELLIGENCE il 68% del campione fa analisi delle minacce ma prevalentemente ex-post, solo il 20% ex-ante per prevenirle. Infine il campo della CYBER INSURANCE vede una adozione ancora limitata di coperture assicurative specifiche, soprattutto a causa dell’impreparazione riscontrata fra i player sul lato dell’offerta.<\/p>\n
Come accennavo all’inizio, pu\u00f2 sembrare paradossale che le aziende decidano di proteggere i propri dati solo perch\u00e9 lo chiede la normativa, ma sappiamo che \u00e8 cos\u00ec: lo dimostrano le risposte date dalle PMI. E allora, se l’adeguamento normativo resta la motivazione principale di spesa, percorriamo con Gabriele Faggioli (Responsabile Scientifico dell’Osservatorio) l’evoluzione del quadro normativo e le sue implicazioni per le imprese.<\/p>\n
C’\u00e8 un tratto comune che ritroviamo in quattro normative europee che insieme costituiranno nel 2018 il Framework europeo per la sicurezza \u00a0(GDPR, EIDAS, Direttiva NIS e Direttiva Criminal Offences): \u00e8 la richiesta dell’adeguatezza delle misure, basata sulla Valutazione del Rischio. Il percorso normativo che condurr\u00e0 al 28 maggio 2018 \u00e8 stato e sar\u00e0 costellato da una serie di passaggi (Linee Guida del WP29, proposta di Regolamento E-Privacy, Leggi nazionali, Provvedimenti dei Garanti…) e sfocer\u00e0 in una situazione ancora difficile da prevedere precisamente, caratterizzata da convivenza fra vecchio e nuovo.\u00a0Fino a quella data il GDPR “non \u00e8 applicabile” ma ci sono alcuni aspetti dai quali non si pu\u00f2 prescindere gi\u00e0 oggi: ad es. la progettazione di nuovi prodotti\/servizi, che sar\u00e0 bene concepire sin d’ora secondo la Privacy by design; oppure i contratti pluriennali sottoscritti nei prossimi mesi, che dovranno gi\u00e0 essere GDPR-ready, per evitare di doverli riscrivere a maggio.<\/p>\n
Fra le Linee guida gi\u00e0 emesse, tutti stanno guardando a quella sul DPO, ma andrebbe tenuta in considerazione anche quella sulla Portabilit\u00e0, tema che rischia di trovare impreparate molte realt\u00e0. E a proposito di preparazione, quale \u00e8 il grado di readiness rilevato dalla Ricerca? Il 46% delle grandi aziende \u00e8 gi\u00e0 partito e il dato \u00e8 in forte accelerazione negli ultimi mesi. Nelle PMI l’aspetto normativo \u00e8 sentito ma \u00e8 meno presidiato, sicuramente dovranno ricorrere alle semplificazioni previste dai Codici di Condotta. Ma anche le grandi imprese non sono poi messe cos\u00ec bene: il 50% non ha ancora definito un BDG, quindi dovr\u00e0 fare tutto nel 2018. Il 45% non prevede alcun cambiamento organizzativo: evidentemente non hanno sentito parlare del DPO… a tale proposito attenzione alle LG del WP29, che hanno dato un’interpretazione alquanto estensiva dei criteri di obbligatoriet\u00e0 della designazione. Si tratta di una figura assai delicata, che le realt\u00e0 complesse farebbero bene a tenere al loro interno, mentre il ricorso ad un DPO esterno resta un’opzione valida per soggetti pi\u00f9 piccoli.<\/p>\n
Come fa sempre, Faggioli ha lanciato anche un suggerimento tutt’altro che scontato a proposito di cambiamenti organizzativi: la figura del Responsabile interno \u00e8 destinata a scomparire (sic), lasciando sul campo solo i Titolari e i Responsabili esterni, per i quali \u00e8 prevista la responsabilit\u00e0 solidale con il Titolare.<\/p>\n
Nel seguito della mattinata le tematiche al centro della Ricerca sono state affrontate a pi\u00f9 voci in tre tavole rotonde, che hanno visto confrontarsi esponenti della domanda ed\u00a0importanti\u00a0player dell’offerta.<\/p>\n
La conclusione \u00e8 stata affidata ad Alessio Pennasilico (Direttivo del Clusit) che non ha smentito la sua fama di “provocatore” (nel senso di uno che offre punti di vista originali ed inconsueti). E quindi: ormai lo sappiamo tutti che le informazioni sono un asset importante per l’azienda, ma allora perch\u00e9 non c’\u00e8 una voce in bilancio che le rappresenti? E perch\u00e9 posso ammortizzare un furgone ma non un assessment 27001? E’ giunta l’ora che le aziende comincino a rendersi conto del costo rappresentato dalla perdita di un singolo dato: un record dell’anagrafica clienti pu\u00f2 valere mediamente 150$ (nella sanit\u00e0 molto di pi\u00f9) ma gli incidenti costano soprattutto in termini di interruzione del servizio, spese per rimediare all’incidente, danni di immagine e reputazione e non ultime, sanzioni. L’obbligo della notifica dei Data Breach introdotto dal GDPR far\u00e0 emergere il fenomeno dall’ombra.<\/p>\n
Allora cosa fare? Acquisire consapevolezza (sia al top che ai livelli operativi) e\u00a0adottare un framework di governance del cyber risk (dentro al quale correlare le istanze organizzative, tecnologiche, procedurali, di compliance e di audit). Ma soprattutto capire che \u00e8 colpa nostra se il board si annoia quando parliamo di security e non trova mai i fondi per le contromisure: finch\u00e9 ci limiteremo all’analisi\u00a0qualitativa<\/u>\u00a0del rischio (probabilit\u00e0, impatto, semaforo verde giallo e rosso) la domanda sar\u00e0 “quanto costa contrastare almeno le minacce col semaforo rosso?” e, qualunque sia la risposta, la conclusione sar\u00e0 sempre “costa troppo”. Bisogna essere capaci di passare all’analisi\u00a0quantitativa<\/u>\u00a0in modo da poter confrontare “quanto costa il danno<\/em>” con “quanto costa prevenirlo<\/em>“.<\/p>","protected":false},"excerpt":{"rendered":" I titoli dei giornali vanno agli attacchi del Cyber Crime, ma alla fine la Compliance \u00e8 ancora la principale leva di spesa in Sicurezza IT, almeno per le PMI. E’ quanto emerge dalla Ricerca 2016 dell’Osservatorio Information Security & Privacy della School of Management del Politecnico di Milano, presentata il 2\/2 al convegno “Cyber Crime:\u2026 Leggi tutto »<\/a><\/span><\/p>\n","protected":false},"author":64,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6,4,5,2,7,3,8],"tags":[306,114,285],"class_list":["post-2419","post","type-post","status-publish","format-standard","hentry","category-data-breach","category-data-protection-officer","category-impact-risk-and-measures","category-legal-framework","category-privacy-by-design","category-roles-and-liabilities","category-sanctions","tag-cyber-crime","tag-cyber-security","tag-polimi"],"_links":{"self":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/2419","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/users\/64"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/comments?post=2419"}],"version-history":[{"count":1,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/2419\/revisions"}],"predecessor-version":[{"id":2420,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/2419\/revisions\/2420"}],"wp:attachment":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/media?parent=2419"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/categories?post=2419"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/tags?post=2419"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}