意大利公司对 IT 安全的关注正在增加,在这方面非常困难的一年中,在美国总统大选期间发现了 500 亿个雅虎帐户的违规行为和涉嫌网络间谍活动。 2016年意大利信息安全解决方案市场2016年达到972亿欧元, 上涨 5% 与 2015 年相比, 支出集中在大公司 (占总数的 74%)分为技术 (28%)、IT 集成服务和咨询 (29%)、软件 (28%) 和托管服务 (15%)。
米兰理工学院管理学院的信息安全与隐私观察站于周四上午在会议上提出了这一点“网络犯罪:改变世界的无形威胁”。 研究表明,尽管意识在增强,但面对云、大数据、物联网、移动和社交等技术发展带来的新挑战,管理安全和隐私的长期方法尚未普及。具有明确的治理结构: 只有 39% 的大公司有多年期的投资计划 只有 46% 的人正式拥有首席信息安全官的职位,即负责安全的管理职位。
“网络犯罪是一种具体的威胁,虽然通常是看不见的,但能够影响世界,正如每日新闻报道所证明的那样,这需要新的工具和模型来应对它——信息安全与科学总监 Gabriele Faggioli 说。隐私 -。 云、大数据、物联网、移动和社交等新的数字创新趋势需要新的答案,不能再推迟了。 新的欧洲个人数据保护条例为达成参考框架创造了一些必要的先决条件,但需要理解和实施。 信息安全和隐私管理路径要求公司制定合适的治理模型、规划和解决方案以应对转型”。
正如信息安全和隐私观察站主任 Alessandro Piva 所解释的那样,“如果我们更深入地分析研究数据,事实上,我们意识到意大利组织的规模有多大仍然落后:超过一半的组织还没有明确的 IT 管理人物安全管理,突出了与其他国家相比的重要差距。 此外,在理解云、物联网、大数据、移动等数字创新趋势对安全管理的影响方面存在延迟。 在当前背景下,需要更成熟和横向的治理模型,以确保正确组合技能来管理日益普及的技术。 一方面有必要设计能够预测可能的攻击的系统,另一方面为用户开发意识计划,以促进负责任的行为”。
这些项目
意大利公司在安全领域的安全项目主要面向识别风险和防御攻击,而对事件检测、响应和恢复的支持还不成熟。 事实上,大公司中最受欢迎的项目是渗透测试和数据安全(51%)、网络安全(48%)、应用程序安全(45%)、端点安全(43%)、安全信息和事件管理(SIEM) (38%)、消息安全 (38%)、网络安全 (36%)、身份治理和管理 (IGA) (32%)、威胁情报 (20%)、交易安全 (19%)、社交媒体安全 ( 16 %)。
另一方面,最现行的政策涉及备份 (89%)、逻辑访问管理 (84%)、IT 安全政策监管 (80%)、公司设备的管理和使用 (72%)、数据生命周期管理 (58%)、社交媒体和网络的使用 (57%)、IT 事件响应行动 (52%)、数据分类政策 (52%) 及其加密 (39%) ).
联络号码
几乎所有意大利公司 (97%) 都向员工提供移动设备,包括笔记本电脑、智能手机和平板电脑以及移动商务应用程序,这不仅存在移动设备可能被盗或丢失的风险,而且还存在可能遭受有针对性的网络攻击的风险。 74% 的意大利公司制定了具体举措来降低与移动安全相关的风险,这涉及引入特定技术平台和工具,例如 MDM(移动设备管理)解决方案以限制移动设备的使用 (61%),以及设备用户在访问业务系统和数据时必须遵循的规则的标准化和常规定义。 27% 的组织制定了限制从公司外部网络访问特定应用程序和服务的法规,61% 的组织制定了使用移动设备的具体政策。
云端技术
云环境的主要风险取决于与供应商的关系:对于 63% 的公司来说,最重要的威胁是缺乏对服务提供商运营的控制,对于 44% 的公司与供应商和数据泄露,对于 41 % 在与供应商的合同义务方面缺乏透明度。 因此很明显,公司不再关注技术威胁,而是必须更加关注合同的起草和与供应商关系的管理。
IoT
随着物联网的发展,连接到网络的设备数量和攻击企业信息系统的可能接入点越来越多。 47% 的组织尚未在该领域采取任何行动来保护自己,41% 的组织正在评估可能的行动,13% 的组织在产品设计中制定了安全设计策略(通过监控凭证的使用和更好的编程实践等措施确保安全) , 10% 使用特定的技术解决方案,9% 有在公司范围内收集数据的政策,5% 有管理智能对象收集的数据的政策。
网络情报
网络威胁正日益成为企业数字结构不可或缺的一部分,不可能 100% 避免安全漏洞,因此除了基于系统保护的传统方法外,公司开始采用威胁预测逻辑。 与信息安全领域相关的数据分析由 57% 的组织通过正式或非正式监督进行监督,8% 的组织在核心信息安全活动之外进行监督,35% 的组织无人值守。
32% 的公司不使用数据来解释或预测关键问题,而其余 68% 的公司已开始在该领域采取行动。 来自各种来源的数据(全球事件数据、IP 地址、日志、用户报告中的可疑 URL 等)的集成使得开发威胁监控模型成为可能,能够拦截可能的异常并在情况真正变得危急之前对其进行管理。 在一些公司中,安全运营中心内有特殊的结构,从网络情报的角度分析和关联数据。
保险业
意大利的网络风险保险市场还不成熟。 网络风险保险旨在涵盖直接对订户或第三方造成的损害,从事件的调查和管理,到初步调查的管理,再到损害赔偿。 只有 15% 的公司已经拥有有效的保险范围,尽管只有超过一半的案例 (8%) 是明确针对网络风险的政策,而在其余情况下,它们是将其作为条件提供的一般保险. 29% 正在评估保险范围,而 32% 认为网络保险市场不够成熟或认为问题不相关。
未知因素
在安全 因素 X 是基本的,与人类行为相关的不确定因素, 例如分心或缺乏意识,经常被网络犯罪分子用来破坏公司系统。 95% 的意大利组织已经采取具体行动来提高企业用户的意识。 最广泛的举措涉及通过电子邮件 (77%) 和通过课堂会议或电子学习 (66%) 向员工发送的定期通信。 在 28% 的案例中,培训还得到现场分发信息材料(优惠券、小册子、海报)的支持。 对于 28% 的组织来说,这些是使用各种工具的真正结构化意识项目,通常涵盖多年期。 公司员工(28%)也进行了漏洞评估活动,例如发送虚假的钓鱼邮件或模拟计算机攻击,一方面衡量员工的意识水平,另一方面测试安全措施的有效性。已经开展的举措。
中小企业
对大约 800 家意大利中小企业的信息安全解决方案传播情况的分析显示,93% 的中小企业在 2016 年投入了预算,尽管这不一定对应于成熟和有意识的使用。 事实上,投资的主要原因是合规性 (48%) 和过去遭受的攻击 (35%),但有时他们会遵循响应新技术 (22%) 或业务 (31%) 需求的需要。 大多数中小型企业拥有基本的安全解决方案 (76%),例如防病毒和反垃圾邮件,62% 的中小型企业声称他们还拥有复杂的解决方案,例如防火墙或入侵检测系统。 然而,四分之一的组织 (25%) 以常识为指导,没有明确的技术方法。 46% 的公司有明确的公司政策,而只有 10% 的公司有旨在提高认识的培训计划。 中小企业的安全方法主要面向识别 (66%) 和保护 (66%),较少面向检测 (12%) 和响应 (15%)。 对调查的关注度随着企业规模的增加而增加,从小型企业的 11% 增加到中型企业的 20%。
“中小企业似乎低估了员工风险意识的增长—— 注意到亚历山德罗·皮瓦 -。 只有 9% 的小公司(员工人数在 10 到 49 人之间)有专门的培训计划来提高资源对 IT 风险的认识,而意识行动的相关性随着公司规模的增加而增加,对于中小型公司(在 20 人之间)达到 50%和 99 名员工)和 24% 的大公司(100 至 249 名员工)”。
