A atenção das empresas italianas para a segurança de TI está crescendo, em um ano muito difícil nessa frente, em meio à descoberta das violações de 500 milhões de contas do Yahoo e das supostas ações de ciberespionagem durante as eleições presidenciais dos Estados Unidos. Em 2016, o mercado de soluções de segurança da informação na Itália atingiu 2016 milhões de euros em 972, até 5% em comparação com 2015, com um despesas concentradas em grandes empresas (74% do total) divididos entre tecnologia (28%), serviços de integração de TI e consultoria (29%), software (28%) e serviços gerenciados (15%).
É o que afirma o Observatório de Segurança e Privacidade da Informação da Escola de Gestão do Politécnico de Milão, apresentado na manhã de quinta-feira na conferência "Cibercrime: A ameaça invisível que muda o mundo”. Segundo o estudo, embora a conscientização esteja crescendo, diante dos novos desafios impostos pelo desenvolvimento de tecnologias como Cloud, Big Data, Internet das Coisas, Mobile e Social, uma abordagem de longo prazo para gerenciar segurança e privacidade ainda não é difundido. com uma estrutura de governança clara: apenas 39% das grandes empresas têm um plano de investimento com horizonte plurianual e apenas 46% possuem formalmente a figura do Chief Information Security Officer, perfil gerencial responsável pela segurança.
“O cibercrime é uma ameaça concreta, embora muitas vezes invisível, capaz de influenciar o mundo, como demonstram as notícias diárias, o que requer novas ferramentas e modelos para lidar com isso – afirma Gabriele Faggioli, diretor científico do Information Security & Privacidade -. As novas tendências de inovação digital como Cloud, Big Data, Internet of Things, Mobile e Social exigem novas respostas que não podem mais ser adiadas. O novo Regulamento Europeu sobre a Protecção de Dados Pessoais cria algumas das condições necessárias para se chegar a um quadro de referência, que no entanto carece de ser compreendido e implementado. O caminho da gestão de Segurança e Privacidade da Informação exige que as empresas coloquem em prática modelos de governança, planejamento e soluções adequados para enfrentar a transformação”.
Como explica Alessandro Piva, Diretor do Observatório de Segurança e Privacidade da Informação, "Se analisarmos os dados da pesquisa mais profundamente, de fato, percebemos como as grandes organizações italianas ainda estão atrasadas: mais da metade ainda não possui uma figura gerencial codificada para TI gestão da segurança, evidenciando uma lacuna importante em relação ao que ocorre em outros países. Além disso, há um atraso na compreensão das implicações das tendências de inovação digital, como Cloud, IoT, Big Data, Mobile, na gestão da segurança. No contexto atual, são necessários modelos de governação mais maduros e transversais, garantindo a combinação correta de competências para gerir tecnologias cada vez mais pervasivas. E é necessário por um lado desenhar sistemas capazes de prever possíveis ataques, por outro desenvolver programas de sensibilização dos utilizadores, de forma a promover um comportamento responsável”.
Os projetos
Os projetos de segurança das empresas italianas na área de segurança são orientados principalmente para a identificação de riscos e proteção contra ataques, enquanto o suporte para detecção de eventos e, em seguida, resposta e recuperação ainda é imaturo. De fato, os projetos mais populares entre as grandes empresas são testes de penetração e segurança de dados (51%), segurança de rede (48%), segurança de aplicativos (45%), segurança de endpoints (43%), informações de segurança e gerenciamento de eventos (SIEM). (38%), segurança de mensagens (38%), segurança da web (36%), governança e administração de identidade (IGA) (32%), inteligência de ameaças (20%), segurança de transações (19%), segurança de mídia social (16 %).
Já as políticas mais presentes dizem respeito ao backup (89%), à gestão dos acessos lógicos (84%), à regulação das políticas de segurança informática (80%), à gestão e utilização dos dispositivos da empresa (72%), a gestão do ciclo de vida dos dados (58%), a utilização das redes sociais e da web (57%), as ações a implementar em resposta a incidentes informáticos (52%), as políticas de classificação dos dados (52%) e a respetiva encriptação (39% ).
Móvel Esteira
Quase todas as empresas italianas (97%) disponibilizam dispositivos móveis para seus funcionários, incluindo notebooks, smartphones e tablets e aplicativos móveis de negócios, com riscos não apenas de possível roubo ou perda de dispositivos móveis, mas também de possíveis ataques cibernéticos direcionados. 74% das empresas italianas têm iniciativas específicas para mitigar o risco associado à segurança móvel, que dizem respeito à introdução de plataformas e ferramentas tecnológicas específicas, como soluções MDM (Mobile Device Management) para limitar o uso de dispositivos móveis (61%) e a definição padronizada e convencional de regras que os usuários de dispositivos devem seguir ao acessar sistemas e dados de negócios. 27% das organizações estabeleceram regulamentos que limitam o acesso a determinados aplicativos e serviços de redes fora da empresa e 61% estabeleceram políticas específicas para o uso de dispositivos móveis.
Na nuvem
Os principais riscos para ambientes de nuvem dependem do relacionamento com o fornecedor: a ameaça mais importante para 63% das empresas é a falta de controle sobre as operações do provedor de serviço, para 44% acerto de contas com o fornecedor e violação de dados, para 41 % falta de transparência com relação às obrigações contratuais com o fornecedor. Fica assim claro que já não são as ameaças tecnológicas que preocupam as empresas, mas cada vez mais atenção deve ser dada à elaboração do contrato e à gestão da relação com os fornecedores.
Internet das coisas
Com o desenvolvimento da Internet das Coisas, aumenta o número de dispositivos conectados à rede e os possíveis pontos de acesso para um ataque ao sistema de informações corporativo. 47% das organizações ainda não implementaram nenhuma ação para se proteger nessa área, 41% estão avaliando possíveis ações, 13% têm políticas de security by design no design do produto (segurando com medidas como monitoramento do uso de credenciais e melhores práticas de programação) , 10% utilizam soluções tecnológicas específicas, 9% possuem políticas de coleta de dados dentro do perímetro corporativo e 5% de gerenciamento de dados coletados por objetos inteligentes.
Inteligência cibernética
As ameaças cibernéticas são cada vez mais parte integrante do tecido digital corporativo e não é possível evitar a 100% uma quebra de segurança, pelo que a par da abordagem tradicional baseada na proteção de sistemas, as empresas começam a adotar uma lógica de antecipação de ameaças. A análise de dados relacionados ao mundo da segurança da informação é supervisionada por 57% das organizações por meio de supervisão formal ou informal, para 8% há supervisão fora das atividades essenciais de segurança da informação, em 35% não é tripulada.
32% das empresas não usam dados para interpretar ou antecipar questões críticas, enquanto os 68% restantes iniciaram ações nessa área. A integração de dados de várias fontes (dados de incidentes mundiais, endereços IP, logs, URLs suspeitas de relatórios de usuários, etc.) permite desenvolver modelos de monitoramento de ameaças, capazes de interceptar possíveis anomalias e gerenciá-las antes que a situação se torne realmente crítica. Em algumas empresas existem estruturas especiais dentro dos Centros de Operações de Segurança, que analisam e correlacionam os dados sob a ótica da Cyber Intelligence.
Seguros
O mercado de seguros contra riscos cibernéticos ainda é imaturo na Itália. A cobertura de risco cibernético visa cobrir danos causados diretamente ao assinante ou a terceiros, desde a investigação e gerenciamento de eventos, até o gerenciamento de investigações preliminares, até a cobertura de danos. Apenas 15% das empresas já têm coberturas de seguros ativas, embora apenas em pouco mais de metade dos casos (8%) sejam apólices expressamente orientadas para o risco cibernético, enquanto nos restantes casos são coberturas gerais que o oferecem como condição . 29% estão avaliando a cobertura de seguros, enquanto 32% não consideram o mercado de seguros cibernéticos suficientemente maduro ou não consideram o problema relevante.
o fator X
Em segurança o fator X é fundamental, o elemento de incerteza ligado ao comportamento humano, como distração ou falta de consciência, frequentemente usados por cibercriminosos para violar sistemas corporativos. 95% das organizações italianas já lançaram ações específicas para sensibilizar os usuários corporativos. As iniciativas mais difundidas dizem respeito às comunicações periódicas enviadas aos colaboradores por e-mail (77%) e aos cursos de formação através de sessões presenciais ou e-learning (66%). Em 28% dos casos, a formação é também suportada pela distribuição pontual de material informativo (vouchers, brochuras, cartazes). Para 28% das organizações, trata-se de projetos reais de conscientização estruturados, que usam várias ferramentas e geralmente cobrem um horizonte de vários anos. As atividades de avaliação de vulnerabilidade são também realizadas junto dos colaboradores da empresa (28%), por exemplo através do envio de falsos e-mails de phishing ou simulações de ataques informáticos, que servem por um lado para medir o nível de sensibilização dos colaboradores, por outro para testar a eficácia do iniciativas já realizadas.
PMEs
A análise sobre a difusão de soluções de segurança da informação entre cerca de 800 pequenas e médias empresas italianas revela que 93% das PMEs dedicaram um orçamento em 2016, embora isso não corresponda necessariamente a um uso maduro e consciente. De facto, os principais motivos de investimento são o cumprimento regulamentar (48%) e os ataques sofridos no passado (35%), mas por vezes acompanham a necessidade de responder a novas necessidades tecnológicas (22%) ou empresariais (31%). A maioria das PME dispõe de soluções básicas de segurança (76%) como antivírus e antispam e 62% declara possuir também soluções sofisticadas, como firewalls ou sistemas de deteção de intrusão. No entanto, uma em cada quatro organizações (25%) é guiada pelo senso comum, sem uma abordagem tecnológica definida. 46% possuem políticas empresariais bem definidas, enquanto apenas 10% possuem programas de treinamento voltados à conscientização. A abordagem à segurança nas PME está sobretudo orientada para a identificação (66%) e proteção (66%), muito menos para a deteção (12%) e resposta (15%). A atenção à pesquisa cresce à medida que aumenta o tamanho da empresa, passando de 11% de pequenas empresas para 20% de médias empresas.
"As PME parecem subestimar o crescimento da consciência do risco entre os seus funcionários – observa Alessandro Piva -. Apenas 9% das pequenas empresas (entre 10 e 49 funcionários) têm programas de treinamento específicos para aumentar a conscientização dos recursos sobre os riscos de TI, enquanto a relevância das ações de conscientização cresce com o aumento do tamanho da empresa, chegando a 20% para médias pequenas empresas (entre 50 e 99 funcionários) e 24% para empresas maiores (entre 100 e 249 funcionários)”.
