500 億の Yahoo アカウントの侵害と、米国大統領選挙中のサイバースパイ行為の疑いが発覚する中、IT セキュリティに対するイタリア企業の関心は高まっています。 2016 年、イタリアの情報セキュリティ ソリューション市場は 2016 年に 972 億 XNUMX 万ユーロに達し、 5%増 2015 年と比較すると、 大企業に集中する支出 (全体の 74%) は、テクノロジー (28%)、IT 統合サービスとコンサルティング (29%)、ソフトウェア (28%)、マネージド サービス (15%) に分かれています。
これは、木曜日の朝に会議で発表された、ミラノ工科大学経営学部の情報セキュリティおよびプライバシー観測所によって述べられました。サイバー犯罪: 世界を変える目に見えない脅威」。 この調査によると、意識は高まっているものの、クラウド、ビッグデータ、モノのインターネット、モバイル、ソーシャルなどのテクノロジーの開発によってもたらされる新しい課題に直面して、セキュリティとプライバシーを管理するための長期的なアプローチが求められています。まだ普及していません. 明確なガバナンス構造: 複数年にわたる投資計画を立てている大企業は 39% のみ また、セキュリティを担当する経営陣である最高情報セキュリティ責任者の姿を正式に持っているのは 46% のみです。
「サイバー犯罪は、目に見えないことも多いが、具体的な脅威であり、世界に影響を与える可能性があることは、毎日のニュース記事が示すように、それに対処するための新しいツールとモデルが必要である.プライバシー -。 クラウド、ビッグデータ、モノのインターネット、モバイル、ソーシャルなどの新しいデジタル イノベーションのトレンドには、もはや先延ばしできない新しい答えが必要です。 個人データの保護に関する新しい欧州規則は、参照フレームワークに到達するために必要ないくつかの前提条件を作成しますが、これを理解して実装する必要があります。 情報セキュリティとプライバシーの管理パスでは、企業は変革に直面するための適切なガバナンス モデル、計画、およびソリューションを導入する必要があります。」
Information Security & Privacy Observatory のディレクターである Alessandro Piva 氏は次のように説明しています。これは、他の国で起こっていることと比較して重要なギャップを浮き彫りにしています。 さらに、クラウド、IoT、ビッグデータ、モバイルなどのデジタル イノベーションのトレンドがセキュリティ管理に与える影響の理解も遅れています。 現在の状況では、ますます普及するテクノロジーを管理するための適切なスキルの組み合わせを確保する、より成熟した横断的なガバナンス モデルが必要です。 そして、責任ある行動を促進するために、攻撃の可能性を予測できるシステムを設計する一方で、ユーザー向けの意識向上プログラムを開発する必要があります。」
プロジェクト
セキュリティ分野におけるイタリア企業のセキュリティ プロジェクトは、主にリスクの特定と攻撃からの保護を目的としていますが、イベント検出とその後の対応と回復のサポートはまだ未熟です。 実際、大企業の間で最も人気のあるプロジェクトは、侵入テストとデータ セキュリティ (51%)、ネットワーク セキュリティ (48%)、アプリケーション セキュリティ (45%)、エンドポイント セキュリティ (43%)、セキュリティ情報とイベント管理 (SIEM) です。 (38%)、メッセージング セキュリティ (38%)、Web セキュリティ (36%)、ID ガバナンスと管理 (IGA) (32%)、脅威インテリジェンス (20%)、トランザクション セキュリティ (19%)、ソーシャル メディア セキュリティ (16 %)。
一方、最新のポリシーは、バックアップ (89%)、論理アクセスの管理 (84%)、IT セキュリティ ポリシーの規制 (80%)、会社のデバイスの管理と使用 (72%)、データ ライフサイクル管理 (58%)、ソーシャル メディアと Web の使用 (57%)、IT インシデントに対応して実装するアクション (52%)、データ分類ポリシー (52%)、およびそれらの暗号化 (39%) )。
モバイル
ほぼすべてのイタリア企業 (97%) が、従業員がノートブック、スマートフォン、タブレット、モバイル ビジネス アプリなどのモバイル デバイスを利用できるようにしていますが、モバイル デバイスの盗難や紛失の可能性だけでなく、標的型サイバー攻撃のリスクもあります。 イタリア企業の 74% は、モバイル セキュリティに関連するリスクを軽減するための具体的な取り組みを行っています。これは、モバイル デバイスの使用を制限するための MDM (モバイル デバイス管理) ソリューションなどの特定の技術プラットフォームとツールの導入の両方に関係しています (61% )。ビジネス システムやデータにアクセスする際にデバイス ユーザーが従わなければならないルールの標準化された従来の定義。 組織の 27% が、社外のネットワークから特定のアプリケーションやサービスへのアクセスを制限する規制を確立しており、61% がモバイル デバイスの使用に関する特定のポリシーを確立しています。
クラウド
クラウド環境の主なリスクは、サプライヤーとの関係によって異なります。企業の 63% にとって最も重要な脅威は、サービス プロバイダーの運用に対する制御の欠如です。 % サプライヤーとの契約上の義務に関する透明性の欠如。 したがって、企業に関係するのはもはや技術的な脅威ではなく、契約の起草とプロバイダーとの関係の管理にこれまで以上に注意を払う必要があることは明らかです。
IoT
モノのインターネットの発展に伴い、ネットワークに接続されたデバイスの数と、企業の情報システムに対する攻撃の可能性のあるアクセス ポイントが増加しています。 組織の 47% は、この分野で自分自身を保護するための対策をまだ実施していません。41% は可能な対策を評価しており、13% は製品設計でセキュリティ バイ デザイン ポリシーを採用しています (資格情報の使用の監視やプログラミング プラクティスの改善などの手段によるセキュリティ保護)。 、10% は特定の技術ソリューションを使用し、9% は企業境界内のデータ収集に関するポリシーを持ち、5% はスマート オブジェクトによって収集されたデータの管理に関するポリシーを持っています。
サイバーインテリジェンス
サイバー脅威はますます企業のデジタル ファブリックの不可欠な部分になりつつあり、セキュリティ侵害を 100% 回避することは不可能であるため、企業はシステム保護に基づく従来のアプローチに加えて、脅威を予測するロジックを採用し始めています。 情報セキュリティの世界に関連するデータの分析は、組織の 57% が公式または非公式の監視を通じて監視しており、8% は主要な情報セキュリティ活動以外で監視しており、35% は有人ではありません。
企業の 32% は重大な問題の解釈や予測にデータを使用していませんが、残りの 68% はこの分野での行動を開始しています。 さまざまなソース (世界中のインシデント データ、IP アドレス、ログ、ユーザー レポートからの疑わしい URL など) からのデータを統合することで、脅威の監視モデルを開発し、可能性のある異常を傍受して、状況が実際に重大になる前にそれらを管理することができます。 一部の企業では、セキュリティ オペレーション センター内に特別な構造があり、サイバー インテリジェンスの観点からデータを分析して関連付けています。
保険
イタリアのサイバーリスク保険市場はまだ未熟です。 サイバーリスク補償は、加入者または第三者に直接生じた損害を補償することを目的としており、イベントの調査および管理から、事前調査の管理、損害補償までを対象としています。 すでに保険に加入している企業はわずか 15% にすぎませんが、これらのケースのわずか 8% がサイバー リスクを明確に対象とした保険であり、残りのケースでは、それを条件として提供する一般的な保険です。 . 29% は保険の補償範囲を評価していますが、32% はサイバー保険市場が十分に成熟しているとは考えていないか、問題に関連性があるとは考えていません。
Xファクター
安全に ファクターXは基本的であり、人間の行動に関連する不確実性の要素であり、 気晴らしや意識の欠如など、サイバー犯罪者が企業システムを侵害するためによく使用します。 イタリアの組織の 95% は、企業ユーザーの意識を高めるための具体的な行動をすでに開始しています。 最も普及しているイニシアチブは、電子メールで従業員に送信される定期的なコミュニケーション (77%) と、教室でのセッションまたは e ラーニングによるトレーニング コース (66%) に関するものです。 28% のケースで、トレーニングは情報資料 (バウチャー、小冊子、ポスター) のスポット配布によってもサポートされます。 組織の 28% では、これらはさまざまなツールを使用した実際に構造化された意識向上プロジェクトであり、多くの場合、複数年の期間をカバーしています。 脆弱性評価活動は、会社の従業員 (28%) に対しても実行されます。たとえば、偽のフィッシング メールやコンピューター攻撃のシミュレーションを送信することによって、一方では従業員の意識レベルを測定し、他方ではセキュリティの有効性をテストします。すでに実施されている取り組み。
中小企業
約 800 のイタリアの中小企業における情報セキュリティ ソリューションの普及に関する分析では、93 年に中小企業の 2016% が予算を投入したことが明らかになりましたが、これは必ずしも成熟した意識的な使用に対応しているわけではありません。 実際、投資の主な理由は規制順守 (48%) と過去に受けた攻撃 (35%) ですが、新しい技術 (22%) またはビジネス (31%) のニーズに対応する必要がある場合もあります。 ほとんどの SME はウイルス対策やスパム対策などの基本的なセキュリティ ソリューション (76%) を備えており、62% はファイアウォールや侵入検知システムなどの高度なソリューションも備えていると宣言しています。 しかし、組織の 25 つに 46 つ (10%) は、定義された技術的アプローチを持たずに常識に基づいています。 66% が明確な会社方針を持っていますが、意識向上を目的としたトレーニング プログラムを持っているのはわずか 66% です。 SME のセキュリティへのアプローチは、主に識別 (12%) と保護 (15%) を重視しており、検出 (11%) と対応 (20%) はあまり重視していません。 この調査への注目は、企業の規模が大きくなるにつれて大きくなり、小規模企業の XNUMX% から中規模企業の XNUMX% まで増加しています。
「中小企業は、従業員のリスク意識の高まりを過小評価しているようです – ノート アレッサンドロ・ピバ -。 中小企業 (従業員数 9 ~ 10 人) の 49% のみが、IT リスクに対するリソースの認識を高めるための特別なトレーニング プログラムを実施しています。および 20 人の従業員)、大企業 (50 ~ 99 人の従業員) では 24% です。
