La atención de las empresas italianas por la seguridad informática está creciendo, en un año muy difícil en este frente, en medio del descubrimiento de las violaciones de 500 millones de cuentas de Yahoo y las supuestas acciones de ciberespionaje durante las elecciones presidenciales de EE. UU. En 2016, el mercado de soluciones de seguridad de la información en Italia alcanzó los 2016 millones de euros en 972, hasta un 5% en comparación con 2015, con una gasto concentrado en grandes empresas (74% del total) dividido entre tecnología (28%), consultoría y servicios de integración TI (29%), software (28%) y servicios gestionados (15%).
Así lo afirmó el Observatorio de Seguridad y Privacidad de la Información de la Escuela de Administración del Politécnico de Milán, presentado el jueves por la mañana en la conferencia "Cibercrimen: La amenaza invisible que cambia el mundo”. Según el estudio, aunque la conciencia va en aumento, ante los nuevos retos que plantea el desarrollo de tecnologías como la Nube, Big Data, Internet de las Cosas, Móvil y Social, se requiere un enfoque a largo plazo para gestionar la seguridad y la privacidad. aún no está generalizado con una estructura de gobierno clara: solo el 39% de las grandes empresas tienen un plan de inversión con un horizonte plurianual y solo el 46% tiene formalmente la figura de Chief Information Security Officer, el perfil directivo encargado de la seguridad.
"El delito cibernético es una amenaza concreta, aunque a menudo invisible, capaz de influir en el mundo, como lo demuestran las noticias diarias, que requiere nuevas herramientas y modelos para enfrentarlo - dice Gabriele Faggioli, director científico de Information Security & Privacidad -. Las nuevas tendencias de innovación digital como Cloud, Big Data, Internet of Things, Mobile y Social requieren nuevas respuestas que ya no se pueden postergar. El nuevo Reglamento Europeo sobre Protección de Datos Personales crea algunas de las condiciones previas necesarias para llegar a un marco de referencia, que sin embargo requiere ser entendido e implementado. El camino de la gestión de la Seguridad y la Privacidad de la Información requiere que las empresas implementen modelos de gobierno, planificación y soluciones adecuados para enfrentar la transformación”.
Como explica Alessandro Piva, Director del Observatorio de Seguridad y Privacidad de la Información, "Si analizamos los datos de la investigación más profundamente, de hecho, nos damos cuenta de cómo las grandes organizaciones italianas todavía están atrasadas: más de la mitad aún no tiene una figura gerencial codificada para TI gestión de la seguridad, destacando una brecha importante en comparación con lo que sucede en otros países. Además, hay un retraso en la comprensión de las implicaciones de las tendencias de innovación digital como Cloud, IoT, Big Data, Mobile, en la gestión de la seguridad. En el contexto actual, se necesitan modelos de gobernanza más maduros y transversales, que garanticen la combinación correcta de habilidades para gestionar tecnologías cada vez más generalizadas. Y es necesario por un lado diseñar sistemas capaces de predecir posibles ataques, por otro desarrollar programas de sensibilización de los usuarios, con el fin de promover un comportamiento responsable”.
Los proyectos
Los proyectos de seguridad de las empresas italianas en el campo de la seguridad están orientados principalmente a identificar riesgos y proteger contra ataques, mientras que el soporte para la detección de eventos y luego la respuesta y recuperación aún es inmaduro. De hecho, los proyectos más populares entre las grandes empresas son las pruebas de penetración y la seguridad de los datos (51 %), la seguridad de la red (48 %), la seguridad de las aplicaciones (45 %), la seguridad de los endpoints (43 %), la información de seguridad y la gestión de eventos (SIEM). (38 %), seguridad de mensajería (38 %), seguridad web (36 %), gobierno y administración de identidades (IGA) (32 %), inteligencia de amenazas (20 %), seguridad de transacciones (19 %), seguridad de redes sociales (16 %).
Las políticas más presentes, en cambio, se refieren al respaldo (89%), la gestión de accesos lógicos (84%), la regulación de las políticas de seguridad informática (80%), la gestión y uso de los dispositivos de la empresa (72%), la gestión del ciclo de vida de los datos (58 %), el uso de las redes sociales y la web (57 %), las acciones a implementar en respuesta a incidentes de TI (52 %), las políticas de clasificación de datos (52 %) y su encriptación (39 %). ).
Móvil
Casi todas las empresas italianas (97 %) ponen a disposición de sus empleados dispositivos móviles, incluidos portátiles, teléfonos inteligentes y tabletas y aplicaciones empresariales móviles, con riesgos no solo por el posible robo o pérdida de dispositivos móviles, sino también por posibles ataques cibernéticos dirigidos. El 74% de las empresas italianas tienen iniciativas específicas para mitigar el riesgo asociado con Mobile Security, que se refieren tanto a la introducción de plataformas y herramientas tecnológicas específicas como las soluciones MDM (Mobile Device Management) para limitar el uso de dispositivos móviles (61%) como la definición estandarizada y convencional de las reglas que los usuarios de dispositivos deben seguir al acceder a los sistemas y datos comerciales. El 27% de las organizaciones ha establecido regulaciones que limitan el acceso a determinadas aplicaciones y servicios desde redes ajenas a la empresa y el 61% ha establecido políticas específicas para el uso de dispositivos móviles.
Soluciones
Los principales riesgos para los entornos de nube dependen de la relación con el proveedor: la amenaza más importante para el 63% de las empresas es la falta de control sobre las operaciones del proveedor de servicios, para el 44% rock in with the provider and data break, para el 41 % falta de transparencia con respecto a las obligaciones contractuales con el proveedor. Por lo tanto, está claro que ya no son las amenazas tecnológicas las que preocupan a las empresas, sino que se debe prestar cada vez más atención a la redacción del contrato y la gestión de la relación con los proveedores.
IoT
Con el desarrollo del Internet de las Cosas, aumenta el número de dispositivos conectados a la red y los posibles puntos de acceso para un ataque al sistema de información corporativo. El 47% de las organizaciones aún no ha implementado ninguna acción para protegerse en esta área, el 41% está evaluando posibles acciones, el 13% tiene políticas de seguridad por diseño en el diseño de productos (asegurando con medidas como monitoreo del uso de credenciales y mejores prácticas de programación) , el 10% utiliza soluciones tecnológicas específicas, el 9% tiene políticas de recogida de datos dentro del perímetro corporativo y el 5% para la gestión de datos recogidos por objetos inteligentes.
inteligencia cibernética
Las amenazas cibernéticas se están convirtiendo cada vez más en una parte integral del tejido digital corporativo y no es posible evitar una brecha de seguridad al 100%, por lo que, junto con el enfoque tradicional basado en la protección de los sistemas, las empresas comienzan a adoptar una lógica de anticipación de amenazas. El análisis de datos relacionados con el mundo de la seguridad de la información es supervisado por el 57% de las organizaciones mediante supervisión formal o informal, para el 8% existe supervisión fuera de las actividades centrales de seguridad de la información, en el 35% no está supervisado.
El 32% de las empresas no utiliza datos para interpretar o anticipar temas críticos, mientras que el 68% restante ha iniciado acciones en este ámbito. La integración de datos de diversas fuentes (datos de incidentes a nivel mundial, direcciones IP, logs, URLs sospechosas de informes de usuarios, etc.) permite desarrollar modelos de monitorización de amenazas, capaces de interceptar posibles anomalías y gestionarlas antes de que la situación se vuelva realmente crítica. En algunas empresas existen estructuras especiales dentro de los Centros de Operaciones de Seguridad, que analizan y correlacionan los datos desde una perspectiva de Ciberinteligencia.
Seguro
El mercado de seguros de riesgos cibernéticos aún es inmaduro en Italia. La cobertura de ciberriesgo está dirigida a cubrir los daños causados directamente al suscriptor o a terceros, desde la investigación y gestión de eventos, pasando por la gestión de averiguaciones previas, hasta la cobertura de daños. Solo el 15% de las empresas tienen ya coberturas de seguros activas, aunque solo en algo más de la mitad de los casos (8%) se trata de pólizas expresamente orientadas al Ciberriesgo, mientras que en el resto de casos se trata de coberturas generales que lo ofrecen como condición. . El 29% está evaluando la cobertura de seguros, mientras que el 32% no considera que el mercado de ciberseguros esté lo suficientemente maduro o no considera relevante el problema.
El factor X
En seguridad El factor X es fundamental, el elemento de incertidumbre ligado al comportamiento humano, como la distracción o la falta de conciencia, a menudo utilizados por los ciberdelincuentes para violar los sistemas corporativos. El 95% de las organizaciones italianas ya han lanzado acciones específicas para sensibilizar a los usuarios corporativos. Las iniciativas más extendidas son las comunicaciones periódicas enviadas a los empleados por correo electrónico (77 %) y los cursos de formación mediante sesiones presenciales o e-learning (66 %). En el 28% de los casos, la formación también se apoya en la distribución puntual de material informativo (bonos, folletos, carteles). Para el 28 % de las organizaciones, se trata de proyectos de concienciación estructurados reales que utilizan varias herramientas y, a menudo, cubren un horizonte de varios años. También se llevan a cabo actividades de evaluación de vulnerabilidades en los empleados de la empresa (28%), por ejemplo mediante el envío de correos electrónicos falsos de phishing o simulaciones de ataques informáticos, que sirven por un lado para medir el nivel de conciencia de los empleados, por otro para probar la eficacia de la iniciativas ya realizadas.
pymes
El análisis sobre la difusión de soluciones de seguridad de la información entre unas 800 pequeñas y medianas empresas italianas revela que el 93 % de las pymes dedicaron un presupuesto en 2016, aunque esto no corresponde necesariamente a un uso maduro y consciente. De hecho, los principales motivos de las inversiones son el cumplimiento normativo (48 %) y los ataques sufridos en el pasado (35 %), pero en ocasiones obedecen a la necesidad de dar respuesta a nuevas necesidades tecnológicas (22 %) o empresariales (31 %). La mayoría de las pymes dispone de soluciones básicas de seguridad (76%) como antivirus y antispam y el 62% declara que también dispone de soluciones sofisticadas, como cortafuegos o sistemas de detección de intrusos. Sin embargo, una de cada cuatro organizaciones (25%) se guía por el sentido común, sin un enfoque tecnológico definido. El 46% tiene políticas de empresa bien definidas, mientras que solo el 10% cuenta con programas de capacitación destinados a aumentar la conciencia. El enfoque de la seguridad en las PYMES se orienta principalmente a la identificación (66%) y protección (66%), mucho menos a la detección (12%) y respuesta (15%). La atención a la encuesta crece a medida que aumenta el tamaño de la empresa, pasando del 11% de las pequeñas empresas al 20% de las medianas empresas.
"Las pymes parecen subestimar el crecimiento de la conciencia del riesgo entre sus empleados. señala Alessandro Piva -. Solo el 9% de las pequeñas empresas (entre 10 y 49 empleados) cuentan con programas de formación específicos para aumentar la concienciación de los recursos sobre los riesgos TI, mientras que la relevancia de las acciones de concienciación crece con el aumento del tamaño de la empresa, alcanzando el 20% para las medianas-pequeñas empresas (entre 50 y 99 empleados) y el 24% para empresas más grandes (entre 100 y 249 empleados)”.
