Categorie
News

Cyber security e business: scelte per il futuro

La sicurezza informatica è sempre più un elemento strategico e imprescindibile.

Per cui è importante che le aziende adottino una efficace gestione della cyber security e dei business.

La creazione di una struttura organizzativa dedicata rappresenta uno snodo cruciale nel percorso verso un approccio consapevole e maturo alla gestione della cyber security.

Per garantire un’adeguata ed efficace sicurezza delle informazioni è fondamentale dotarsi di un piano strategico. Quest’ultimo dovrebbe comprendere riferimenti normativi, ruoli e responsabilità, risorse e asset, processi e attività operative.

Comprendiamo, così, la necessità di strutturare un’organizzazione con ruoli di leadership e tasks e ideare una strategia ben delineata, allineata alle esigenze del business.

La ricerca dell’Osservatorio Cybersecurity & Data Protection del Politecnico di Milano, condotta nel 2019, ha analizzato il mondo delle competenze e i ruoli necessari per la gestione della cybersecurity.

L’obiettivo è stato quello di evidenziare la maturità organizzativa e il livello di ottemperanza delle imprese italiane rispetto al modello di gestione della sicurezza.

Nel dettaglio la Ricerca 2019 dell’Osservatorio ha proposto una Survey di rilevazione che ha coinvolto 698 CISO, CSO, CIO, Compliance Manager, Risk Manager, Chief Risk Officer e DPO di imprese italiane. In particolare, sono state coinvolte 180 grandi organizzazioni (>249 addetti) e 501 PMI (tra 10 e 249 addetti).

Modello organizzativo

Una corretta strategia di gestione della cyber security passa necessariamente da una chiara e univoca definizione delle responsabilità.

A tal proposito, il CISO (Chief Information Security Officer) è una figura fondamentale. Si occupa di coordinare le iniziative di sicurezza rispetto ai programmi aziendali e agli obiettivi di business, assicurando che gli asset informativi e le tecnologie siano adeguatamente protetti.

Una premessa è d’obbligo: bisogna sottolineare che nei risultati dell’Osservatorio Information Security & Privacy 2020 che pur riportano un aumento degli investimenti in sicurezza informatica (pari all’11% anno tra il 2018 e il 2019, per un valore assoluto di revenue riferito a quest’ultimo anno di 1,3 miliardi di euro) si riscontra ancora una scarsa maturità organizzativa e di gestione. In particolare, si legge che nel 40% delle imprese la gestione dell’IT security è ancora affidata a CIO e IT ed è assente il CISO. Tale figura professionale è presente solo nel 27% delle organizzazioni interpellate.

zerounoweb.it
altri dettagli della ricerca:

La Ricerca 2019 si è focalizzata, invece, sulle scelte organizzative a livello macro. Ha confermato una consapevolezza organizzativa carente. Secondo quanto è emerso, nel 40% delle organizzazioni non esiste una specifica funzione Information Security. Questa è spesso incardinata sotto l’IT, e il responsabile della sicurezza è lo stesso CIO.

In più di un quarto delle organizzazioni intervistate, inoltre, esiste una funzione esterna ai Sistemi Informativi, ma la figura responsabile della sicurezza (CISO o ruolo equivalente) riporta comunque all’IT (27%).

Sono ancora poche le organizzazioni che adottano una configurazione differente. In cui la funzione Information Security sia esterna e indipendente dall’IT. Ad esempio facente capo a una diversa divisione aziendale (Corporate Security, Risk Management, Legal, Compliance, ecc. – 17%) oppure direttamente al Board (16%).

La scarsa maturità organizzativa si riflette nella mancanza di ottemperanza alle normative. Oltre la metà delle realtà intervistate ritiene che il modello organizzativo adottato non rappresenti una configurazione ottimale per un’efficace gestione della cyber security.

Le figure più complesse da reperire

L’efficacia di un piano strategico di gestione della cyber security e del business passa anche dall’identificazione e introduzione in azienda di figure professionali ben delineate e altamente specializzate.

Relativamente al tema delle competenze, sebbene il 71% delle imprese prese in esame affermi che il team interno è in possesso delle competenze necessarie, rimane comunque abbastanza elevata (29%) la percentuale di grandi imprese che dichiara che il team interno non è in possesso delle competenze necessarie.

Complessivamente, circa il 40% delle aziende è alla ricerca di nuove risorse o tecnici specializzati da inserire nei progetti legati all’Information technology e alla cybersecurity. Questa ricerca deriva dalle necessità di sviluppare nuove opportunità di business e colmare le proprie carenze organizzative.

Dall’indagine è emerso tuttavia un gap importante tra la domanda e l’offerta di professionisti. Questo si traduce nella difficoltà, riscontrata da ben il 77% delle aziende, di reperire sul mercato figure specializzate.

Sul podio dei profili più ricercati dalle organizzazioni vi sono:

  • il Security Analyst, che si occupa di valutare le vulnerabilità che possono interessare reti, apparati, applicazioni e servizi proponendo soluzioni ed accorgimenti pratici;
  • i Security Architects, che si occupa di svolgere l’assessment delle soluzioni di security presenti in azienda e di curare il disegno armonico e coerente delle misure di sicurezza e delle policy adottate dall’organizzazione;
  • i Security Engineers che monitora i sistemi e propone soluzioni relative alla risposta agli incidenti.

Il quadro in Italia

Relativamente alle scelte organizzative aziendali, il quadro che emerge in Italia conferma un ritardo. Come riscontrato negli scorsi anni anche quest’anno, anche se con sensibili miglioramenti, l’Italia è in ritardo su quadro internazionale.

Questo è causato e testimoniato proprio dalla mancanza di figure direzionali dedicate, dal collocamento organizzativo generalmente non adeguato, dagli enviroment progettati da aziende/soggetti non del tutto competenti.

Occorre poi porre l’accento su un altro elemento necessario per minimizzare il rischio, ossia una corretta gestione del fattore umano, che continua a rappresentare la prima vulnerabilità e la principale area di azione per le organizzazioni.

La sicurezza informatica è, sempre più, una scelta imprescindibile per il futuro delle aziende.

È necessario affrontare le sfide di sicurezza in contesti nuovi, anche fuori dai confini IT.

A livello organizzativo, bisognerebbe adottare un modello integrato di Governance, Risk e Compliance della security che permetta, da un lato, di garantire l’adozione di logiche di intervento operativo uniformi a ogni livello, e dall’altro di supervisionare nella maniera più completa e affidabile le fonti di minaccia.

SECURITY ARCHITECT SRL

Cyber security per il tuo business
Il nostro team di analisti di cybersecurity supporta le organizzazioni, di qualunque dimensione, sia del settore pubblico che privato, nel rilevare rapidamente violazioni della sicurezza informatica e rispondere in modo efficace agli incidenti, attraverso le attività di Vulnerability Assessment, Penetration test, Data Protection, Formazione certificata sulle Cyber operations.
Cyber security e Business
scopri i nostri servizi:
Estate: è tempo di andare in vacanza in sicurezza!
Blog

Estate: è tempo di andare in vacanza in sicurezza!

I black hat non pianificano le vacanze come noi Cyber security in estate, perché parlarne? Le vacanze estive sono attese con impazienza dai criminali informatici, purtroppo per ragioni diverse dalle nostre: per prendere...
Leggi tutto
Data Leakage Prevention: come proteggere la tua azienda
Blog News

Data Leakage Prevention: come proteggere la tua azienda

Cosa vuol dire Data Leakage? I Data Leakage sono, sostanzialmente, fughe di dati. Una fuga di dati è un'esposizione di dati sensibili online e non solo. Potrebbero verificarsi perdite di dati nella rete...
Leggi tutto
Panoramica dei principali Mobile Security Threats
News

Panoramica dei principali Mobile Security Threats

Parliamo delle maggiori minacce informatiche per smartphone che hanno visto diffusione nel 2022. Lo smartphone è il nostro compagno quotidiano. Accade spesso che la maggior parte delle nostre attività (dalla spesa, all'ordinare il...
Leggi tutto
Ransomware nel 2022: minacce in evoluzione
News

Ransomware nel 2022: minacce in evoluzione

Gli esperti affermano che le tendenze del mercato finanziario, assicurativo e informatico stanno plasmando il panorama dei ransomware nel 2022. Pare essere lievemente diminuito il numero di attacchi ransomware nel 2022. Gli esperti...
Leggi tutto
Immutable Backup: una certezza contro il ransomware
Blog

Immutable Backup: una certezza contro il ransomware

Tutto quello che devi sapere per proteggere i tuoi dati... Ogni 11 secondi si verifica un attacco ransomware. Ciò significa che nello stesso tempo che impieghiamo a leggere un articolo migliaia di ransomware...
Leggi tutto
Scenari di hacking: come gli hacker scelgono le loro vittime
News

Scenari di hacking: come gli hacker scelgono le loro vittime

Estorsione e Ransomware Gli scenari di hacking sono in aumento. L'applicazione della tecnica della double-extortion o doppia estorsione, nota anche come pay-now-or-get-breached (paga ora o sarai violato), è emersa largamente tra gli scenari...
Leggi tutto

News Letter

Leave this field blank
Per saperne di piÙ

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.