Die Aufmerksamkeit italienischer Unternehmen für IT-Sicherheit wächst in einem sehr schwierigen Jahr an dieser Front, inmitten der Aufdeckung der Verletzungen von 500 Millionen Yahoo-Konten und der mutmaßlichen Cyberspionage-Aktionen während der US-Präsidentschaftswahlen. Im Jahr 2016 erreichte der Markt für Informationssicherheitslösungen in Italien 2016 Millionen Euro im Jahr 972, um 5 % gestiegen verglichen 2015, mit a Die Ausgaben konzentrieren sich auf große Unternehmen (74 % der Gesamtzahl), aufgeteilt in Technologie (28 %), IT-Integrationsdienste und -beratung (29 %), Software (28 %) und Managed Services (15 %).
Dies wurde vom Informationssicherheits- und Datenschutzobservatorium der School of Management des Mailänder Polytechnikums festgestellt, das am Donnerstagmorgen auf der Konferenz "Cybercrime: Die unsichtbare Bedrohung, die die Welt verändert“. Laut der Studie wächst zwar das Bewusstsein, angesichts der neuen Herausforderungen, die sich aus der Entwicklung von Technologien wie Cloud, Big Data, dem Internet der Dinge, Mobile und Social ergeben, ist jedoch ein langfristiger Ansatz für das Management von Sicherheit und Datenschutz erforderlich ist noch nicht weit verbreitet mit einer klaren Governance-Struktur: nur 39 % der großen Unternehmen haben einen Investitionsplan mit mehrjährigem Horizont und nur 46 % haben offiziell die Figur des Chief Information Security Officer, das für die Sicherheit zuständige Führungsprofil.
"Cyber-Kriminalität ist eine konkrete, wenn auch oft unsichtbare Bedrohung, die die Welt beeinflussen kann, wie die täglichen Nachrichten zeigen, die neue Werkzeuge und Modelle erfordert, um damit umzugehen - sagt Gabriele Faggioli, wissenschaftliche Direktorin des Instituts für Informationssicherheit und Privatsphäre -. Die neuen digitalen Innovationstrends wie Cloud, Big Data, Internet of Things, Mobile und Social erfordern neue Antworten, die nicht mehr aufgeschoben werden können. Die neue europäische Verordnung zum Schutz personenbezogener Daten schafft einige der notwendigen Voraussetzungen, um zu einem Referenzrahmen zu gelangen, der jedoch verstanden und umgesetzt werden muss. Der Managementpfad für Informationssicherheit und Datenschutz erfordert von Unternehmen die Einführung geeigneter Governance-Modelle, Planungen und Lösungen, um der Transformation zu begegnen.“
Wie Alessandro Piva, Direktor des Information Security & Privacy Observatory, erklärt: „Wenn wir die Forschungsdaten genauer analysieren, erkennen wir tatsächlich, wie große italienische Organisationen noch hinterherhinken: Mehr als die Hälfte hat noch keine kodifizierte Führungsfigur für IT Sicherheitsmanagement, was eine wichtige Lücke im Vergleich zu dem, was in anderen Ländern passiert, hervorhebt. Darüber hinaus gibt es eine Verzögerung beim Verständnis der Auswirkungen digitaler Innovationstrends wie Cloud, IoT, Big Data, Mobile auf das Sicherheitsmanagement. Im aktuellen Kontext werden ausgereiftere und transversale Governance-Modelle benötigt, die die richtige Mischung von Fähigkeiten sicherstellen, um zunehmend allgegenwärtige Technologien zu verwalten. Und es ist notwendig, einerseits Systeme zu entwerfen, die mögliche Angriffe vorhersagen können, andererseits Sensibilisierungsprogramme für Benutzer zu entwickeln, um verantwortungsvolles Verhalten zu fördern.“
Die Projekte
Die Sicherheitsprojekte italienischer Unternehmen im Sicherheitsbereich sind hauptsächlich auf die Identifizierung von Risiken und den Schutz vor Angriffen ausgerichtet, während die Unterstützung für die Ereigniserkennung und die anschließende Reaktion und Wiederherstellung noch unausgereift ist. Tatsächlich sind die beliebtesten Projekte bei großen Unternehmen Penetrationstests und Datensicherheit (51 %), Netzwerksicherheit (48 %), Anwendungssicherheit (45 %), Endpunktsicherheit (43 %), Sicherheitsinformations- und Ereignisverwaltung (SIEM). (38 %), Messaging-Sicherheit (38 %), Web-Sicherheit (36 %), Identity Governance & Administration (IGA) (32 %), Threat Intelligence (20 %), Transaktionssicherheit (19 %), Social-Media-Sicherheit (16 %).
Die präsentesten Richtlinien betreffen hingegen Backup (89 %), die Verwaltung logischer Zugriffe (84 %), die Regulierung von IT-Sicherheitsrichtlinien (80 %), die Verwaltung und Nutzung von Unternehmensgeräten (72 %), das Data Lifecycle Management (58 %), die Nutzung von Social Media und dem Internet (57 %), die Maßnahmen, die als Reaktion auf IT-Vorfälle (52 %) durchgeführt werden müssen, Richtlinien zur Datenklassifizierung (52 %) und deren Verschlüsselung (39 % ).
Mobil
Fast alle italienischen Unternehmen (97 %) stellen ihren Mitarbeitern Mobilgeräte zur Verfügung, darunter Notebooks, Smartphones und Tablets sowie mobile Business-Apps, mit Risiken nicht nur für den möglichen Diebstahl oder Verlust von Mobilgeräten, sondern auch für mögliche gezielte Cyberangriffe. 74 % der italienischen Unternehmen haben spezifische Initiativen zur Minderung des mit Mobile Security verbundenen Risikos, die sowohl die Einführung spezifischer technologischer Plattformen und Tools wie MDM-Lösungen (Mobile Device Management) betreffen, um die Nutzung mobiler Geräte einzuschränken (61 %), als auch die standardisierte und herkömmliche Definition von Regeln, die Gerätebenutzer beim Zugriff auf Geschäftssysteme und Daten befolgen müssen. 27 % der Unternehmen haben Vorschriften erlassen, die den Zugriff auf bestimmte Anwendungen und Dienste von Netzwerken außerhalb des Unternehmens einschränken, und 61 % haben spezielle Richtlinien für die Nutzung mobiler Geräte aufgestellt.
Cloud
Die Hauptrisiken für Cloud-Umgebungen hängen von der Beziehung zum Anbieter ab: Die wichtigste Bedrohung für 63 % der Unternehmen ist die mangelnde Kontrolle über den Betrieb des Dienstanbieters, für 44 % der Einbruch beim Anbieter und Datenschutzverletzungen für 41 % Intransparenz in Bezug auf vertragliche Verpflichtungen mit dem Lieferanten. Damit ist klar, dass nicht mehr die technologischen Bedrohungen die Unternehmen beschäftigen, sondern der Vertragsgestaltung und dem Beziehungsmanagement zu den Anbietern immer mehr Aufmerksamkeit geschenkt werden muss.
IoT
Mit der Entwicklung des Internets der Dinge steigen die Anzahl der mit dem Netzwerk verbundenen Geräte und die möglichen Angriffspunkte für einen Angriff auf das Informationssystem des Unternehmens. 47 % der Unternehmen haben in diesem Bereich noch keine Maßnahmen zu ihrem eigenen Schutz ergriffen, 41 % evaluieren mögliche Maßnahmen, 13 % haben Security-by-Design-Richtlinien im Produktdesign (Sicherheit durch Maßnahmen wie die Überwachung der Verwendung von Anmeldeinformationen und bessere Programmierpraktiken). , 10 % verwenden spezifische technologische Lösungen, 9 % haben Richtlinien zur Erfassung von Daten innerhalb des Unternehmensperimeters und 5 % zur Verwaltung von Daten, die von intelligenten Objekten erfasst werden.
Cyber-Intelligenz
Cyber-Bedrohungen werden zunehmend zu einem integralen Bestandteil der digitalen Struktur von Unternehmen, und es ist nicht möglich, eine Sicherheitsverletzung zu 100 % zu vermeiden. Daher beginnen Unternehmen, neben dem traditionellen Ansatz auf der Grundlage des Systemschutzes, eine Logik der Antizipation von Bedrohungen anzunehmen. Die Analyse von Daten im Zusammenhang mit der Welt der Informationssicherheit wird von 57 % der Organisationen durch formelle oder informelle Aufsicht überwacht, bei 8 % erfolgt die Aufsicht außerhalb der Kernaktivitäten der Informationssicherheit, bei 35 % ist sie unbemannt.
32 % der Unternehmen verwenden keine Daten, um kritische Probleme zu interpretieren oder vorherzusehen, während die restlichen 68 % Maßnahmen in diesem Bereich eingeleitet haben. Die Integration von Daten aus verschiedenen Quellen (weltweite Ereignisdaten, IP-Adressen, Protokolle, verdächtige URLs aus Benutzerberichten usw.) ermöglicht die Entwicklung von Überwachungsmodellen für Bedrohungen, die mögliche Anomalien abfangen und verwalten können, bevor die Situation tatsächlich kritisch wird. In manchen Unternehmen gibt es spezielle Strukturen innerhalb der Security Operation Centers, die die Daten aus Cyber-Intelligence-Perspektive analysieren und korrelieren.
Versicherung
Der Versicherungsmarkt für Cyberrisiken ist in Italien noch unausgereift. Die Cyber-Risikodeckung zielt darauf ab, Schäden abzudecken, die direkt dem Teilnehmer oder Dritten zugefügt wurden, von der Untersuchung und Verwaltung von Ereignissen über die Verwaltung von Voruntersuchungen bis hin zur Schadensdeckung. Nur 15 % der Unternehmen haben bereits einen Versicherungsschutz aktiv, allerdings nur in gut der Hälfte der Fälle (8 %) handelt es sich um Policen, die ausdrücklich auf das Cyber-Risiko ausgerichtet sind, während es sich in den übrigen Fällen um allgemeine Deckungen handelt, die dies als Bedingung anbieten . 29 % bewerten den Versicherungsschutz, während 32 % den Cyber-Versicherungsmarkt für nicht ausgereift oder das Problem für nicht relevant halten.
Der x Faktor
In Sicherheit Faktor X ist grundlegend, das mit menschlichem Verhalten verbundene Unsicherheitselement, wie Ablenkung oder mangelndes Bewusstsein, die oft von Cyberkriminellen genutzt werden, um in Unternehmenssysteme einzudringen. 95 % der italienischen Organisationen haben bereits spezifische Maßnahmen zur Sensibilisierung der Unternehmensanwender gestartet. Die am weitesten verbreiteten Initiativen betreffen regelmäßige Mitteilungen per E-Mail an die Mitarbeiter (77 %) und Schulungen durch Präsenzveranstaltungen oder E-Learning (66 %). In 28 % der Fälle wird die Schulung zusätzlich durch die punktuelle Verteilung von Informationsmaterial (Gutscheine, Broschüren, Poster) unterstützt. Für 28 % der Organisationen sind dies echte strukturierte Sensibilisierungsprojekte, die verschiedene Tools verwenden und oft einen mehrjährigen Horizont abdecken. Auch bei Firmenmitarbeitern (28%) werden Vulnerability-Assessment-Maßnahmen durchgeführt, beispielsweise durch den Versand gefälschter Phishing-E-Mails oder Computerangriffssimulationen, die einerseits der Messung des Mitarbeiterbewusstseins dienen, andererseits der Wirksamkeitsprüfung dienen bereits durchgeführte Initiativen.
KMU
Die Analyse der Verbreitung von Informationssicherheitslösungen unter etwa 800 kleinen und mittleren italienischen Unternehmen zeigt, dass 93 % der KMU im Jahr 2016 ein Budget bereitgestellt haben, obwohl dies nicht unbedingt einer ausgereiften und bewussten Nutzung entspricht. Tatsächlich sind die Hauptgründe für Investitionen die Einhaltung gesetzlicher Vorschriften (48 %) und in der Vergangenheit erlittene Angriffe (35 %), aber manchmal folgen sie der Notwendigkeit, auf neue technologische (22 %) oder geschäftliche (31 %) Anforderungen zu reagieren. Die meisten KMU verfügen über grundlegende Sicherheitslösungen (76 %) wie Antivirus und Antispam, und 62 % erklären, dass sie auch über ausgeklügelte Lösungen wie Firewalls oder Intrusion Detection-Systeme verfügen. Allerdings lässt sich jede vierte Organisation (25 %) vom gesunden Menschenverstand leiten, ohne einen definierten technologischen Ansatz. 46 % haben gut definierte Unternehmensrichtlinien, während nur 10 % Schulungsprogramme zur Sensibilisierung haben. Der Sicherheitsansatz in KMU ist hauptsächlich auf Identifizierung (66 %) und Schutz (66 %) ausgerichtet, viel weniger auf Erkennung (12 %) und Reaktion (15 %). Die Aufmerksamkeit für die Umfrage nimmt mit zunehmender Unternehmensgröße zu, von 11 % der kleinen Unternehmen auf 20 % der mittleren Unternehmen.
"KMU scheinen das wachsende Risikobewusstsein ihrer Mitarbeiter zu unterschätzen – Notizen Alessandro Piva -. Nur 9 % der kleinen Unternehmen (zwischen 10 und 49 Mitarbeitern) verfügen über spezifische Schulungsprogramme, um das Ressourcenbewusstsein für IT-Risiken zu erhöhen, während die Relevanz von Sensibilisierungsmaßnahmen mit zunehmender Unternehmensgröße zunimmt und 20 % für mittlere bis kleine Unternehmen (zwischen 50 und 99 Mitarbeiter) und 24 % für größere Unternehmen (zwischen 100 und 249 Mitarbeiter)“.
