आईटी सुरक्षा के लिए इतालवी कंपनियों का ध्यान बढ़ रहा है, इस मोर्चे पर एक बहुत ही कठिन वर्ष में, 500 मिलियन याहू खातों के उल्लंघन और अमेरिकी राष्ट्रपति चुनावों के दौरान कथित साइबर जासूसी कार्यों की खोज के बीच। 2016 में, इटली में सूचना सुरक्षा समाधान बाजार 2016 में 972 मिलियन यूरो तक पहुंच गया, 5% ऊपर 2015 की तुलना में, ए बड़ी कंपनियों में केंद्रित व्यय (कुल का 74%) प्रौद्योगिकी (28%), आईटी एकीकरण सेवाओं और परामर्श (29%), सॉफ्टवेयर (28%) और प्रबंधित सेवाओं (15%) के बीच विभाजित।
यह मिलान पॉलिटेक्निक के स्कूल ऑफ मैनेजमेंट के सूचना सुरक्षा और गोपनीयता वेधशाला द्वारा गुरुवार की सुबह सम्मेलन में प्रस्तुत किया गया था "साइबर अपराध: दुनिया को बदलने वाला अदृश्य खतरा”। अध्ययन के अनुसार, हालांकि जागरूकता बढ़ रही है, लेकिन क्लाउड, बिग डेटा, इंटरनेट ऑफ थिंग्स, मोबाइल और सोशल जैसी प्रौद्योगिकियों के विकास से उत्पन्न नई चुनौतियों का सामना करने के लिए, सुरक्षा और गोपनीयता के प्रबंधन के लिए एक दीर्घकालिक दृष्टिकोण अभी तक व्यापक नहीं है एक स्पष्ट शासन संरचना के साथ: केवल 39% बड़ी कंपनियों के पास बहु-वर्षीय क्षितिज वाली निवेश योजना है और केवल 46% के पास औपचारिक रूप से मुख्य सूचना सुरक्षा अधिकारी, सुरक्षा के प्रभारी प्रबंधकीय प्रोफ़ाइल का आंकड़ा है।
"साइबर अपराध एक ठोस, हालांकि अक्सर अदृश्य, दुनिया को प्रभावित करने में सक्षम खतरा है, जैसा कि दैनिक समाचार कहानियों द्वारा प्रदर्शित किया जाता है, जिससे निपटने के लिए नए उपकरणों और मॉडलों की आवश्यकता होती है - सूचना सुरक्षा और वैज्ञानिक निदेशक गेब्रियल फागिओली कहते हैं गोपनीयता -। क्लाउड, बिग डेटा, इंटरनेट ऑफ थिंग्स, मोबाइल और सोशल जैसे नए डिजिटल इनोवेशन ट्रेंड्स को नए उत्तरों की आवश्यकता है जिन्हें अब स्थगित नहीं किया जा सकता है। व्यक्तिगत डेटा के संरक्षण पर नया यूरोपीय विनियमन एक संदर्भ ढांचे पर पहुंचने के लिए आवश्यक कुछ पूर्व शर्तों को बनाता है, जिसे समझने और लागू करने की आवश्यकता होती है। सूचना सुरक्षा और गोपनीयता प्रबंधन पथ के लिए कंपनियों को परिवर्तन का सामना करने के लिए उपयुक्त शासन मॉडल, योजना और समाधान स्थापित करने की आवश्यकता है।
जैसा कि सूचना सुरक्षा और गोपनीयता वेधशाला के निदेशक एलेसेंड्रो पीवा बताते हैं, "यदि हम अनुसंधान डेटा का अधिक गहराई से विश्लेषण करते हैं, तो वास्तव में, हमें एहसास होता है कि कितने बड़े इतालवी संगठन अभी भी पीछे हैं: आधे से अधिक के पास अभी तक आईटी के लिए एक संहिताबद्ध प्रबंधकीय आंकड़ा नहीं है सुरक्षा प्रबंधन, अन्य देशों में क्या होता है की तुलना में एक महत्वपूर्ण अंतर को उजागर करता है। इसके अलावा, सुरक्षा प्रबंधन पर क्लाउड, आईओटी, बिग डेटा, मोबाइल जैसे डिजिटल इनोवेशन ट्रेंड्स के निहितार्थ को समझने में देरी हो रही है। वर्तमान संदर्भ में, तेजी से व्यापक प्रौद्योगिकियों का प्रबंधन करने के लिए कौशल का सही मिश्रण सुनिश्चित करने के लिए अधिक परिपक्व और ट्रांसवर्सल गवर्नेंस मॉडल की आवश्यकता है। और एक ओर संभावित हमलों की भविष्यवाणी करने में सक्षम प्रणालियों को डिजाइन करना आवश्यक है, दूसरी ओर जिम्मेदार व्यवहार को बढ़ावा देने के लिए उपयोगकर्ताओं के लिए जागरूकता कार्यक्रम विकसित करने के लिए।
मैं progetti
सुरक्षा के क्षेत्र में इतालवी कंपनियों की सुरक्षा परियोजनाएं मुख्य रूप से जोखिमों की पहचान करने और हमलों से बचाव करने की ओर उन्मुख हैं, जबकि घटना का पता लगाने और फिर प्रतिक्रिया और पुनर्प्राप्ति के लिए समर्थन अभी भी अपरिपक्व है। वास्तव में, बड़ी कंपनियों के बीच सबसे लोकप्रिय परियोजनाएं पैठ परीक्षण और डेटा सुरक्षा (51%), नेटवर्क सुरक्षा (48%), अनुप्रयोग सुरक्षा (45%), समापन बिंदु सुरक्षा (43%), सुरक्षा सूचना और घटना प्रबंधन (SIEM) हैं। (38%), मैसेजिंग सुरक्षा (38%), वेब सुरक्षा (36%), आइडेंटिटी गवर्नेंस एंड एडमिनिस्ट्रेशन (IGA) (32%), थ्रेट इंटेलिजेंस (20%), लेनदेन सुरक्षा (19%), सोशल मीडिया सुरक्षा (16) %)।
दूसरी ओर, सबसे वर्तमान नीतियां, चिंता बैकअप (89%), तार्किक पहुंच का प्रबंधन (84%), आईटी सुरक्षा नीतियों का विनियमन (80%), कंपनी उपकरणों का प्रबंधन और उपयोग (72%), डेटा जीवनचक्र प्रबंधन (58%), सोशल मीडिया और वेब का उपयोग (57%), आईटी घटनाओं (52%), डेटा वर्गीकरण नीतियों (52%) और उनके एन्क्रिप्शन (39%) के जवाब में लागू की जाने वाली कार्रवाइयाँ ).
मोबाइल
लगभग सभी इतालवी कंपनियां (97%) अपने कर्मचारियों को नोटबुक, स्मार्टफोन और टैबलेट और मोबाइल बिजनेस ऐप सहित मोबाइल डिवाइस उपलब्ध कराती हैं, जिसमें न केवल संभावित चोरी या मोबाइल उपकरणों के नुकसान का जोखिम होता है, बल्कि संभावित लक्षित साइबर हमलों का भी जोखिम होता है। 74% इतालवी कंपनियों के पास मोबाइल सुरक्षा से जुड़े जोखिम को कम करने के लिए विशिष्ट पहलें हैं, जो मोबाइल उपकरणों (61%) के उपयोग को सीमित करने के लिए विशिष्ट तकनीकी प्लेटफॉर्म और एमडीएम (मोबाइल डिवाइस प्रबंधन) समाधान जैसे उपकरणों की शुरुआत से संबंधित हैं, और नियमों की मानकीकृत और पारंपरिक परिभाषा जिसका डिवाइस उपयोगकर्ताओं को व्यवसाय सिस्टम और डेटा तक पहुँचने के दौरान पालन करना चाहिए। 27% संगठनों ने नियमों की स्थापना की है जो कंपनी के बाहर नेटवर्क से विशेष एप्लिकेशन और सेवाओं तक पहुंच को सीमित करते हैं और 61% ने मोबाइल उपकरणों के उपयोग के लिए विशिष्ट नीतियां स्थापित की हैं।
बादल
क्लाउड वातावरण के लिए मुख्य जोखिम आपूर्तिकर्ता के साथ संबंधों पर निर्भर करते हैं: 63% कंपनियों के लिए सबसे महत्वपूर्ण खतरा सेवा प्रदाता के संचालन पर नियंत्रण की कमी है, 44% के लिए आपूर्तिकर्ता और डेटा उल्लंघन के साथ रॉक, 41 के लिए आपूर्तिकर्ता के साथ संविदात्मक दायित्वों के संबंध में पारदर्शिता की % कमी। इसलिए यह स्पष्ट है कि यह अब तकनीकी खतरे नहीं हैं जो कंपनियों को चिंतित करते हैं बल्कि अनुबंध के प्रारूपण और प्रदाताओं के साथ संबंधों के प्रबंधन पर अधिक ध्यान दिया जाना चाहिए।
IoT
इंटरनेट ऑफ थिंग्स के विकास के साथ, कॉर्पोरेट सूचना प्रणाली पर हमले के लिए नेटवर्क से जुड़े उपकरणों की संख्या और संभावित पहुंच बिंदुओं में वृद्धि हुई है। 47% संगठनों ने अभी तक इस क्षेत्र में खुद को बचाने के लिए कोई कार्रवाई नहीं की है, 41% संभावित कार्यों का मूल्यांकन कर रहे हैं, 13% के पास उत्पाद डिजाइन में डिजाइन नीतियों द्वारा सुरक्षा है (क्रेडेंशियल्स और बेहतर प्रोग्रामिंग प्रथाओं के उपयोग की निगरानी जैसे उपायों के साथ सुरक्षा) , 10% विशिष्ट तकनीकी समाधानों का उपयोग करते हैं, 9% के पास कॉर्पोरेट परिधि के भीतर डेटा के संग्रह पर नीतियां हैं और 5% स्मार्ट वस्तुओं द्वारा एकत्र किए गए डेटा के प्रबंधन के लिए हैं।
साइबर इंटेलिजेंस
साइबर खतरे तेजी से कॉरपोरेट डिजिटल फैब्रिक का एक अभिन्न हिस्सा बनते जा रहे हैं और सुरक्षा उल्लंघन से 100% बचना संभव नहीं है, इसलिए सिस्टम सुरक्षा पर आधारित पारंपरिक दृष्टिकोण के साथ-साथ कंपनियां खतरों की प्रत्याशा के तर्क को अपनाने लगी हैं। सूचना सुरक्षा की दुनिया से संबंधित डेटा का विश्लेषण 57% संगठनों द्वारा औपचारिक या अनौपचारिक निरीक्षण के माध्यम से देखा जाता है, 8% के लिए मुख्य सूचना सुरक्षा गतिविधियों के बाहर निरीक्षण होता है, 35% में यह मानवयुक्त नहीं होता है।
32% कंपनियां महत्वपूर्ण मुद्दों की व्याख्या या अनुमान लगाने के लिए डेटा का उपयोग नहीं करती हैं, जबकि शेष 68% ने इस क्षेत्र में कार्रवाई शुरू कर दी है। विभिन्न स्रोतों से डेटा का एकीकरण (विश्वव्यापी घटना डेटा, आईपी पते, लॉग, उपयोगकर्ता रिपोर्ट से संदिग्ध यूआरएल आदि) खतरे की निगरानी मॉडल विकसित करना संभव बनाता है, संभावित विसंगतियों को रोकने और स्थिति वास्तव में गंभीर होने से पहले उन्हें प्रबंधित करने में सक्षम है। कुछ कंपनियों में सुरक्षा संचालन केंद्रों के भीतर विशेष संरचनाएं होती हैं, जो साइबर इंटेलिजेंस के दृष्टिकोण से डेटा का विश्लेषण और सहसंबंध करती हैं।
बीमा
साइबर जोखिम बीमा बाजार अभी भी इटली में अपरिपक्व है। साइबर जोखिम कवरेज का उद्देश्य ग्राहक या तीसरे पक्ष को सीधे होने वाले नुकसान को कवर करना है, घटनाओं की जांच और प्रबंधन से लेकर प्रारंभिक जांच के प्रबंधन तक, क्षति कवरेज तक। केवल 15% कंपनियों के पास पहले से ही बीमा कवरेज सक्रिय है, हालाँकि केवल आधे से अधिक मामलों में (8%) ये नीतियां स्पष्ट रूप से साइबर जोखिम की ओर उन्मुख हैं, जबकि शेष मामलों में वे सामान्य कवरेज हैं जो इसे एक शर्त के रूप में पेश करती हैं . 29% बीमा कवरेज का मूल्यांकन कर रहे हैं, जबकि 32% साइबर बीमा बाजार को पर्याप्त परिपक्व नहीं मानते हैं या समस्या को प्रासंगिक नहीं मानते हैं।
एक्स फैक्टर
सुरक्षा में कारक X मूलभूत है, मानव व्यवहार से जुड़ी अनिश्चितता का तत्व, जैसे व्याकुलता या जागरूकता की कमी, अक्सर साइबर अपराधियों द्वारा कॉर्पोरेट सिस्टम को भंग करने के लिए उपयोग किया जाता है। 95% इतालवी संगठनों ने कॉर्पोरेट उपयोगकर्ताओं के बीच जागरूकता बढ़ाने के लिए पहले ही विशिष्ट कार्रवाई शुरू कर दी है। ईमेल (77%) और कक्षा सत्र या ई-लर्निंग (66%) के माध्यम से प्रशिक्षण पाठ्यक्रमों द्वारा कर्मचारियों को भेजे जाने वाले समय-समय पर संचार की सबसे व्यापक पहल। 28% मामलों में, सूचना सामग्री (वाउचर, बुकलेट, पोस्टर) के मौके पर वितरण द्वारा भी प्रशिक्षण का समर्थन किया जाता है। 28% संगठनों के लिए ये वास्तविक संरचित जागरूकता परियोजनाएं हैं जो विभिन्न उपकरणों का उपयोग करती हैं और अक्सर एक बहु-वर्षीय क्षितिज को कवर करती हैं। कंपनी के कर्मचारियों (28%) पर भेद्यता मूल्यांकन गतिविधियाँ भी की जाती हैं, उदाहरण के लिए नकली फ़िशिंग ईमेल या कंप्यूटर हमले के सिमुलेशन भेजकर, जो एक ओर कर्मचारी जागरूकता के स्तर को मापने के लिए, दूसरी ओर की प्रभावशीलता का परीक्षण करने के लिए काम करते हैं। पहल पहले ही की जा चुकी है।
एसएमई
लगभग 800 छोटे और मध्यम आकार के इतालवी उद्यमों के बीच सूचना सुरक्षा समाधानों के प्रसार पर विश्लेषण से पता चलता है कि 93% एसएमई ने 2016 में एक बजट समर्पित किया, हालांकि यह जरूरी नहीं कि एक परिपक्व और सचेत उपयोग के अनुरूप हो। वास्तव में, निवेश के मुख्य कारण विनियामक अनुपालन (48%) और अतीत में हुए हमले (35%) हैं, लेकिन कभी-कभी वे नई तकनीकी (22%) या व्यावसायिक (31%) जरूरतों का जवाब देने की आवश्यकता का पालन करते हैं। अधिकांश एसएमई के पास एंटीवायरस और एंटीस्पैम जैसे बुनियादी सुरक्षा समाधान (76%) होते हैं और 62% घोषणा करते हैं कि उनके पास फायरवॉल या घुसपैठ का पता लगाने वाली प्रणाली जैसे परिष्कृत समाधान भी हैं। हालांकि, चार संगठनों में से एक (25%) सामान्य ज्ञान द्वारा निर्देशित है, बिना किसी परिभाषित तकनीकी दृष्टिकोण के। 46% के पास अच्छी तरह से परिभाषित कंपनी नीतियां हैं, जबकि केवल 10% के पास जागरूकता बढ़ाने के उद्देश्य से प्रशिक्षण कार्यक्रम हैं। एसएमई में सुरक्षा का दृष्टिकोण मुख्य रूप से पहचान (66%) और सुरक्षा (66%) की ओर उन्मुख है, पहचान (12%) और प्रतिक्रिया (15%) की ओर बहुत कम। उद्यम के आकार में वृद्धि के साथ सर्वेक्षण पर ध्यान बढ़ता है, छोटे उद्यमों के 11% से मध्यम आकार के 20% तक जा रहा है।
"ऐसा लगता है कि एसएमई अपने कर्मचारियों के बीच जोखिम जागरूकता की वृद्धि को कम आंकते हैं - नोट्स एलेसेंड्रो पीवा -। केवल 9% छोटी कंपनियों (10 से 49 कर्मचारियों के बीच) के पास आईटी जोखिमों के बारे में संसाधन जागरूकता बढ़ाने के लिए विशिष्ट प्रशिक्षण कार्यक्रम हैं, जबकि जागरूकता कार्यों की प्रासंगिकता कंपनी के आकार में वृद्धि के साथ बढ़ती है, मध्यम-छोटी कंपनियों के लिए 20% तक पहुंचती है (50 के बीच) और 99 कर्मचारी) और 24% बड़ी कंपनियों के लिए (100 और 249 कर्मचारियों के बीच)।
