ABD başkanlık seçimleri sırasında 500 milyon Yahoo hesabının ihlal edildiğinin ve iddia edilen siber casusluk eylemlerinin ortaya çıktığı bu cephedeki çok zor bir yılda, İtalyan şirketlerinin BT güvenliğine olan ilgisi artıyor. 2016 yılında İtalya'da bilgi güvenliği çözümleri pazarı 2016 yılında 972 milyon avroya ulaştı, %5 artış 2015 ile karşılaştırıldığında, büyük şirketlerde yoğunlaşan harcamalar (toplamın %74'ü) teknoloji (%28), BT entegrasyon hizmetleri ve danışmanlığı (%29), yazılım (%28) ve yönetilen hizmetler (%15) arasında bölünmüştür.
Bu, Perşembe sabahı konferansta sunulan Milan Polytechnic Yönetim Okulu Bilgi Güvenliği ve Gizlilik Gözlemevi tarafından belirtildi "Siber Suç: Dünyayı değiştiren görünmez tehdit”. Araştırmaya göre, farkındalık artıyor olsa da, Bulut, Büyük Veri, Nesnelerin İnterneti, Mobil ve Sosyal gibi teknolojilerin geliştirilmesinin getirdiği yeni zorluklar karşısında, güvenlik ve gizliliği yönetmeye yönelik uzun vadeli bir yaklaşım. net bir yönetişim yapısı ile henüz yaygın değildir: büyük şirketlerin yalnızca %39'unun çok yıllı bir yatırım planı var ve yalnızca %46'sı resmi olarak güvenlikten sorumlu yönetici profili olan Bilgi Güvenliği Başkanı figürüne sahiptir.
Bilgi Güvenliği ve Bilim Direktörü Gabriele Faggioli, "Siber suç, günlük haberlerin gösterdiği gibi, dünyayı etkileyebilecek somut, ancak genellikle görünmez bir tehdittir ve onunla başa çıkmak için yeni araçlar ve modeller gerektirir" diyor. Mahremiyet -. Bulut, Büyük Veri, Nesnelerin İnterneti, Mobil ve Sosyal gibi yeni dijital inovasyon trendleri, artık ertelenemeyecek yeni cevaplar gerektiriyor. Kişisel Verilerin Korunmasına ilişkin yeni Avrupa Yönetmeliği, anlaşılması ve uygulanması gereken bir referans çerçeveye ulaşmak için gerekli bazı ön koşulları oluşturmaktadır. Bilgi Güvenliği ve Gizlilik yönetimi yolu, şirketlerin dönüşümle yüzleşmek için uygun yönetişim modellerini, planlamasını ve çözümlerini uygulamaya koymasını gerektirir”.
Bilgi Güvenliği ve Gizlilik Gözlemevi Direktörü Alessandro Piva'nın açıkladığı gibi, "Araştırma verilerini daha derinlemesine analiz edersek, aslında, İtalyan kuruluşlarının ne kadar geride kaldığını anlıyoruz: yarısından fazlası henüz BT için kodlanmış bir yönetim figürüne sahip değil. güvenlik yönetimi, diğer ülkelerde olanlarla karşılaştırıldığında önemli bir boşluğu vurgulamaktadır. Ayrıca Bulut, Nesnelerin İnterneti, Büyük Veri, Mobil gibi dijital inovasyon trendlerinin güvenlik yönetimi üzerindeki etkilerinin anlaşılmasında gecikmeler yaşanıyor. Mevcut bağlamda, giderek yaygınlaşan teknolojileri yönetmek için doğru beceri karışımını sağlayan daha olgun ve çapraz yönetişim modellerine ihtiyaç duyulmaktadır. Sorumlu davranışı teşvik etmek için bir yandan olası saldırıları önceden tahmin edebilen sistemler tasarlamak, diğer yandan kullanıcılar için farkındalık programları geliştirmek gerekiyor”.
Projeler
İtalyan şirketlerinin güvenlik alanındaki güvenlik projeleri, esas olarak riskleri belirlemeye ve saldırılara karşı korunmaya yönelikken, olay algılama ve ardından müdahale ve kurtarma desteği henüz olgunlaşmamış durumda. Aslında, büyük şirketler arasında en popüler projeler sızma testleri ve veri güvenliği (%51), ağ güvenliği (%48), uygulama güvenliği (%45), uç nokta güvenliği (%43), güvenlik bilgileri ve olay yönetimi (SIEM)'dir. (%38), mesajlaşma güvenliği (%38), web güvenliği (%36), kimlik yönetimi ve yönetimi (IGA) (%32), tehdit istihbaratı (%20), işlem güvenliği (%19), sosyal medya güvenliği (16) %).
En güncel politikalar ise yedekleme (%89), mantıksal erişimlerin yönetimi (%84), BT güvenlik politikalarının düzenlenmesi (%80), şirket cihazlarının yönetimi ve kullanımı (%72), veri yaşam döngüsü yönetimi (%58), sosyal medya ve web kullanımı (%57), BT olaylarına yanıt olarak uygulanacak eylemler (%52), veri sınıflandırma politikaları (%52) ve bunların şifrelenmesi (%39) ).
Telefon
Hemen hemen tüm İtalyan şirketleri (%97), dizüstü bilgisayarlar, akıllı telefonlar ve tabletler ve mobil iş uygulamaları dahil olmak üzere, yalnızca mobil cihazların olası çalınması veya kaybolması için değil, aynı zamanda olası hedefli siber saldırılar için de risk taşıyan mobil cihazları çalışanlarına sunar. İtalyan şirketlerinin %74'ü, hem belirli teknolojik platformların hem de mobil cihazların kullanımını sınırlamak için MDM (Mobil Cihaz Yönetimi) çözümleri (%61) gibi araçların tanıtılmasıyla ilgili olan Mobil Güvenlik ile ilişkili riski azaltmak için özel girişimlere sahiptir. cihaz kullanıcılarının iş sistemlerine ve verilerine erişirken uyması gereken kuralların standartlaştırılmış ve geleneksel tanımı. Kuruluşların %27'si şirket dışındaki ağlardan belirli uygulama ve hizmetlere erişimi sınırlayan düzenlemeler ve %61'i mobil cihazların kullanımı için özel politikalar oluşturmuştur.
bulut
Bulut ortamları için ana riskler, tedarikçi ile olan ilişkiye bağlıdır: Şirketlerin %63'ü için en önemli tehdit, %44'ü için tedarikçinin operasyonları üzerinde kontrol eksikliği ve 41 için veri ihlalidir. % tedarikçi ile sözleşmeden doğan yükümlülüklere ilişkin şeffaflık eksikliği. Bu nedenle, artık şirketleri ilgilendiren şeyin teknolojik tehditler olmadığı, sözleşme taslağının hazırlanmasına ve sağlayıcılarla ilişkinin yönetimine her zamankinden daha fazla dikkat edilmesi gerektiği açıktır.
IOT
Nesnelerin İnterneti'nin gelişmesiyle birlikte, ağa bağlı cihazların sayısı ve kurumsal bilgi sistemine yönelik bir saldırı için olası erişim noktaları artmaktadır. Kuruluşların %47'si bu alanda kendilerini korumak için henüz herhangi bir eylem uygulamadı, %41'i olası eylemleri değerlendiriyor, %13'ü ürün tasarımında tasarımla güvenlik politikalarına sahip (kimlik bilgilerinin kullanımının izlenmesi ve daha iyi programlama uygulamaları gibi önlemlerle güvenlik) , %10'u özel teknolojik çözümler kullanıyor, %9'u verilerin kurumsal çevre içinde toplanmasına ve %5'i akıllı nesneler tarafından toplanan verilerin yönetimine yönelik politikalara sahip.
Siber istihbarat
Siber tehditler, kurumsal dijital yapının giderek daha ayrılmaz bir parçası haline geliyor ve bir güvenlik ihlalinden %100 kaçınmak mümkün değil. tehditler. Bilgi güvenliği dünyasıyla ilgili verilerin analizi, kuruluşların %57'si tarafından resmi veya gayri resmi gözetim yoluyla denetleniyor, %8'i temel bilgi güvenliği faaliyetleri dışında gözetim yapıyor, %35'inde ise insan yok.
Şirketlerin %32'si verileri kritik sorunları yorumlamak veya tahmin etmek için kullanmazken, geri kalan %68'i bu alanda harekete geçti. Çeşitli kaynaklardan (dünya çapındaki olay verileri, IP adresleri, günlükler, kullanıcı raporlarından şüpheli URL'ler vb.) gelen verilerin entegrasyonu, olası anormallikleri yakalayabilen ve durum gerçekten kritik hale gelmeden önce bunları yönetebilen tehdit izleme modelleri geliştirmeyi mümkün kılar. Bazı şirketlerde, Güvenlik Operasyon Merkezleri bünyesinde, verileri Siber İstihbarat perspektifinden analiz eden ve ilişkilendiren özel yapılar bulunmaktadır.
sigortalar
İtalya'da siber risk sigortası piyasası henüz olgunlaşmamış durumda. Siber risk teminatı, olayların soruşturulması ve yönetilmesinden ön incelemelerin yönetilmesine, hasar teminatına kadar doğrudan aboneye veya üçüncü kişilere verilen zararların karşılanmasını amaçlamaktadır. Şirketlerin yalnızca %15'i halihazırda aktif sigorta kapsamına sahiptir, ancak vakaların yalnızca yarısından biraz fazlası (%8) bunlar açıkça Siber riske yönelik poliçelerken, geri kalan durumlarda bunu bir koşul olarak sunan genel teminatlardır. . %29'u sigorta kapsamını değerlendirirken, %32'si siber sigorta pazarını yeterince olgun bulmuyor veya sorunu ilgili bulmuyor.
X faktörü
Güven içinde X faktörü temeldir, insan davranışıyla bağlantılı belirsizlik unsurudur, dikkat dağıtma veya farkındalık eksikliği gibi, genellikle siber suçlular tarafından kurumsal sistemleri ihlal etmek için kullanılır. İtalyan kuruluşlarının %95'i, kurumsal kullanıcılar arasında farkındalığı artırmak için şimdiden belirli eylemler başlattı. En yaygın girişimler, çalışanlara e-posta (%77) yoluyla gönderilen periyodik iletişimler ve sınıf oturumları veya e-öğrenme (%66) aracılığıyla verilen eğitim kursları ile ilgilidir. Vakaların %28'inde eğitim, bilgi materyallerinin (fişler, kitapçıklar, posterler) yerinde dağıtılmasıyla da desteklenmektedir. Kuruluşların %28'i için bunlar, çeşitli araçlar kullanan ve genellikle çok yıllı bir ufku kapsayan gerçek yapılandırılmış farkındalık projeleridir. Şirket çalışanları üzerinde de (%28) güvenlik açığı değerlendirme faaliyetleri yürütülmektedir, örneğin sahte kimlik avı e-postaları gönderilerek veya bir yandan çalışanların farkındalık düzeyini ölçmeye, diğer yandan da sistemin etkinliğini test etmeye yarayan bilgisayar saldırısı simülasyonları yoluyla. girişimler zaten gerçekleştirildi.
KOBİ'ler
Bilgi güvenliği çözümlerinin yaklaşık 800 küçük ve orta ölçekli İtalyan işletmesi arasındaki dağılımına ilişkin analiz, KOBİ'lerin %93'ünün 2016 yılında bir bütçe ayırdığını ortaya koyuyor, ancak bu her zaman olgun ve bilinçli bir kullanıma karşılık gelmiyor. Aslında, yatırımların ana nedenleri mevzuata uyum (%48) ve geçmişte yaşanan saldırılar (%35) olmakla birlikte, bazen yeni teknolojik (%22) veya iş (%31) ihtiyaçlarına cevap verme ihtiyacını takip etmektedir. KOBİ'lerin çoğu antivirüs ve antispam gibi temel güvenlik çözümlerine (%76) sahiptir ve %62'si ayrıca güvenlik duvarları veya izinsiz giriş tespit sistemleri gibi gelişmiş çözümlere sahip olduklarını beyan etmektedir. Bununla birlikte, dört kuruluştan biri (%25), tanımlanmış bir teknolojik yaklaşım olmaksızın sağduyu tarafından yönlendirilmektedir. %46'sı iyi tanımlanmış şirket politikalarına sahipken, sadece %10'u farkındalığı artırmaya yönelik eğitim programlarına sahip. KOBİ'lerde güvenliğe yaklaşım, tespit (%66) ve müdahaleye (%66) daha az olmak üzere, esas olarak tanımlamaya (%12) ve korumaya (%15) yöneliktir. Küçük işletmelerde %11'den orta ölçekli işletmelerde %20'ye çıkarak, işletmenin boyutu arttıkça ankete gösterilen ilgi de artıyor.
"KOBİ'ler, çalışanları arasındaki risk farkındalığının büyümesini hafife alıyor gibi görünüyor – Alessandro Piva'nın notları -. Küçük şirketlerin (9 ila 10 çalışanı olan) yalnızca %49'u BT risklerine ilişkin kaynak farkındalığını artırmak için özel eğitim programlarına sahipken, farkındalık eylemlerinin önemi şirket büyüklüğündeki artışla birlikte artarak orta-küçük ölçekli şirketlerde (20 ila 50 arasında) %99'ye ulaşıyor. ve 24 çalışan) ve daha büyük şirketler için %100 (249 ila XNUMX çalışan)”.
