Osservatorio Information Security & Privacy - ITALIA GESTIONI org.

Pagina creata da Diego Re
 
CONTINUA A LEGGERE
Osservatorio Information Security & Privacy - ITALIA GESTIONI org.
IN COLLABORAZIONE

    Osservatorio Information Security &
                    Privacy
                            ITALIA GESTIONI org.
                           info@italiagestioni.org

BUL, una leva competitiva per il business: focus sulla cybersecurity

  www.italiagestioni.org
Osservatorio Information Security & Privacy - ITALIA GESTIONI org.
ITALIA GESTIONI.org

 Agenda
 Intervento introduttivo di scenario
 • Il contesto di riferimento (principali attacchi dell’anno 2018, definizione di Information
    Security)
 • I trend dell’innovazione digitale e le implicazioni sulla security (Cloud, Mobile, Big Data,
    Internet of Things, Social media, Artificial Intelligence, Blockchain)

 Intervento di approfondimento:
 • Le minacce e vulnerabilità che mettono in pericolo la sicurezza
 • Lo stato attuale dell’information security in Italia (mercato, progettualità, policy nelle
    aziende italiane)
 • Le competenze ed i ruoli della gestione dell’Information Security & Privacy
 • La gestione del fattore umano
      • Social Engineering (principali tecniche di attacco ed esempi)
      • I programmi di creazione di awareness (motivazioni, obiettivi, indicatori di valutazione,
         principali iniziative implementate, approcci alla gestione del fattore umano)

Information Security & Privacy                         28.11.18      www.italiagestioni.org
Osservatorio Information Security & Privacy - ITALIA GESTIONI org.
IN COLLABORAZIONE

Il contesto di riferimento dell’information
         security ed i trend emergenti

                           ITALIA GESTIONI.org

BUL, una leva competitiva per il business: focus sulla cybersecurity
Osservatorio Information Security & Privacy - ITALIA GESTIONI org.
ITALIA GESTIONI.org
L’Innovazione Digitale
è un fattore essenziale per lo sviluppo del Paese

STORY
Gli Osservatori Digital Innovation della School of Management
del Politecnico di Milano nascono nel 1999 con l’obiettivo
di fare cultura in tutti i principali ambiti di Innovazione Digitale.
Gli Osservatori sono oggi un punto di riferimento qualificato
sull’Innovazione Digitale in Italia che integra attività di Ricerca,
Comunicazione, Aggiornamento Continuo e Networking.

MISSION
Produrre e diffondere conoscenza sulle opportunità e gli impatti
che le tecnologie digitali hanno su imprese, pubbliche amministrazioni
e cittadini, tramite modelli interpretativi
basati su solide evidenze empiriche e spazi di
confronto indipendenti, pre-competitivi e duraturi
nel tempo, che aggregano la domanda e l’offerta
di Innovazione Digitale in Italia.
Osservatorio Information Security & Privacy - ITALIA GESTIONI org.
Gli Osservatori - I numeri chiave del 2017                                                                                     ITALIA GESTIONI org
                                                                                                                              TALIA
  Ricerca                                                          150 pubblicazioni con                                     Formazione
                                                                                                                              GESTIONI.orgitaliaTALIA
                                                  34 Osservatori   i risultati delle Ricerche                                 GESTIONI.org

                                                                                     180 workshop online,
                                 89 Professori/                                      webinar e convegni online
                           Ricercatori/Analisti
                                                                                                5.500 uscite stampa (450 su
                                                                                                testate Top)
                  370 Partner e Sponsor
                                                                                                    313.000 visitatori unici
                                                                                                    del sito annuali

                         150.000 contatti
                                                                                                210 eventi (convegni e
                                                                                                workshop)
                         7.200 partecipanti ai
                         workshop
                                                                                     34.400 contatti social
                                           18.500 partecipanti
                                                                     3.400 abbonati premium
                                                     agli eventi

  Network                                                                                                                Comunicazione
Information Security & Privacy                                        28.11.18                                         www.italiagestioni.org
Osservatorio Information Security & Privacy - ITALIA GESTIONI org.
La mission e il target dell’Osservatorio                                                        ITALIA GESTIONI org

      L’Osservatorio intende rispondere al bisogno
                                                           L’Osservatorio si rivolge a tutti coloro che si
       di conoscere, comprendere e affrontare le
                                                          occupano di Security, da diversi punti di vista:
        principali problematiche dell’Information
                                                               CIO, CSO, CISO, DPO, Internal Audit,
      Security & Privacy e monitorare l’utilizzo di
                                                               Compliance Manager e Risk Manager
       nuove tecniche e tecnologie a supporto di
                                                                 delle principali imprese italiane
        tale area da parte delle aziende end user

Information Security & Privacy                        28.11.18              www.italiagestioni.org
Osservatorio Information Security & Privacy - ITALIA GESTIONI org.
Un contesto in rapida evoluzione: Gli attacchi gravi
 registrati nel mondo                                                       ITALIA GESTIONI org

                                                           *Primi 6 mesi 2018

  1200                                  1127
                        1012     1050
  1000                                                     +353% attacchi
                 873                                            verso
   800                                         730*       “Multiple Targets”

   600

   400
                                                            +34% attacchi
                                                           “Phishing/Social
   200                                                      Engineering”

       0
                 2014    2015    2016   2017   2018
 Fonte: Clusit

Information Security & Privacy                 28.11.18   www.italiagestioni.org
Osservatorio Information Security & Privacy - ITALIA GESTIONI org.
Un contesto in rapida evoluzione: I principali attacchi 2018
                                                      ITALIA GESTIONI org

                                                                                            Russian hackers made
                                   Un attacco hacker ha
                                                                                          £9.4m from British Airways
                                 bloccato la città di Atlanta
                                                                                                data breach'

2018

                                                       Cambridge Analytica
                                                       travolta dal Datagate:
                                                       bancarotta e chiusura
                                                            immediata

Information Security & Privacy                                     28.11.18     www.italiagestioni.org
Osservatorio Information Security & Privacy - ITALIA GESTIONI org.
Un contesto in rapida evoluzione: Il Regolamento Generale sulla Protezione dei
 Dati (c.d. GDPR)                                                                                               ITALIA GESTIONI org

                                 4 novembre 2010                      24 maggio 2016             25 maggio 2018

                                 La Commissione europea elabora
                                 una proposta di riforma della
                                 normativa in materia di protezione
                                 dei dati personali
                                                                      Entrata in vigore del
                                                                      Regolamento Generale sulla
     Garantire la sicurezza                                           Protezione dei Dati (c.d. GDPR)
                                      • Elevato sforzo di
     dei dati personali                 compliance
     mediante:

     • Nuovi investimenti
     • Nuovi ruoli
                                      • Sanzioni fino a 20                                       Piena
                                        milioni di euro o
       organizzativi                    al 4% del fatturato                                      applicabilità del
     • Nuovi strumenti e
       metodologie
                                        annuo
                                                                                                 Regolamento!

Information Security & Privacy                                    28.11.18                   www.italiagestioni.org
Osservatorio Information Security & Privacy - ITALIA GESTIONI org.
Un contesto in rapida evoluzione: Le priorità di investimento dell’innovazione
 digitale
                                                                                        2017                                                                         ITALIA GESTIONI org

                                                                      1°               Consolidamento
                                                                                         applicativo

                                                                     2°
                                                                                    Big Data & Business
                                                                                        Intelligence

                                                                     3°
                                                                                     Digitalizzazione e
                                                                                    dematerializzazione

                                                                     4°              Sviluppo e rinnovo
                                                                                            CRM

                                                                                           …
                                                                                  Information Security,
                                                                    10°          Compliance e Risk Mgmt

 Survey Innovation dell’Osservatorio Digital Transformation Academy che ha visto il coinvolgimento di oltre 200 Innovation Manager e CIO di grandi organizzazioni italiane nel 2016 e 2017

Information Security & Privacy                                                                  28.11.18                                   www.italiagestioni.org
Un contesto in rapida evoluzione: Le priorità di investimento dell’innovazione
 digitale                                                                                                                                                            ITALIA GESTIONI org
                                    2017                                                                                                      2018
                                                                                                                                           Big Data & Business
                  1°               Consolidamento
                                     applicativo                                                                             1°                Intelligence

                                                                                                                            2°
                                                                                                                                          Digitalizzazione e
                  2°
                                 Big Data & Business
                                     Intelligence                                                                                        dematerializzazione

                  3°
                                 Digitalizzazione e
                                dematerializzazione                                                                         3°               Consolidamento
                                                                                                                                               applicativo

                  4°              Sviluppo e rinnovo
                                         CRM                                                                                4°          Information Security,
                                                                                                                                       Compliance e Risk Mgmt

                                        …                                                                                   5°
                                                                                                                                                   Industry
                                                                                                                                                     4.0

                                                                                                                                            Sviluppo e rinnovo
                10°
                               Information Security,
                              Compliance e Risk Mgmt                                                                        6°                     CRM

 Survey Innovation dell’Osservatorio Digital Transformation Academy che ha visto il coinvolgimento di oltre 200 Innovation Manager e CIO di grandi organizzazioni italiane nel 2016 e 2017

Information Security & Privacy                                                                  28.11.18                                   www.italiagestioni.org
Information Security: definizione
                                                                  ITALIA GESTIONI org

       Per information security si intende
         l’insieme delle misure e degli
       strumenti finalizzati a garantire e
           preservare confidenzialità,          Cosa si intende
          integrità e disponibilità delle       per Information
                                                   Security?
                  informazioni.

Information Security & Privacy       28.11.18      www.italiagestioni.org
I principi di gestione della sicurezza informatica
                                                                                                       ITALIA GESTIONI org

                                 Garanzia di riservatezza delle informazioni, riduzione dei
    Confidenzialità              rischi connessi all’accesso o all’uso delle informazioni in
    (Confidentiality)                              forma non autorizzata

            Integrità               Garanzia di correttezza dei dati; l’informazione non deve
           (Integrity)                          subire modifiche o cancellazioni

     Disponibilità               Garanzia di accesso e di usabilità dei dati nei modi e nei
     (Availability)                                  tempi richiesti

Information Security & Privacy                                       28.11.18                   www.italiagestioni.org
I trend dell’innovazione digitale che influenzano la
 security      CLOUD          MOBILE          BIG DATA
                                                                       ITALIA GESTIONI org

                 INTERNET        SOCIAL         ARTIFICIAL
                OF THINGS         MEDIA       INTELLIGENCE   BLOCKCHAIN
Information Security & Privacy            28.11.18             www.italiagestioni.org
Cloud Computing                                                                                ITALIA GESTIONI org

                                      Accesso ai servizi ICT on-demand e
                                        self-service attraverso la rete

                      Mercato                                                    82%
                    Public Cloud
                       2018                         Mercato
                                                  Cloud 2018                 Delle grandi
                      mondo                                                aziende in Italia
                                                     Italia
                                                                           utilizza servizi
                    140 mld $                                              Public Cloud in
                                                  2,34 mld €
                     (+21,4%)                                               modo esteso
                                                    (+19%)

 Information Security & Privacy Cloud Transformation   28.11.18                           www.osservatori.net
Fonte:  Gartner;   Osservatorio
Cloud Computing                                                                                                ITALIA GESTIONI org

                                  Possibili tentativi di
                                     furto dei dati

                                 Mancanza di controllo
                                  sulle operations del
                                    service provider                   Tesla, attacco hacker
                                                                         al sistema cloud
                                  Scarsa trasparenza
                                                                    Massiccio attacco hacker ai danni della
                                 rispetto agli obblighi            Tesla, o meglio al suo sistema cloud che è
                                      contrattuali                    stato usato per il "mining" di valute
                                                                             digitali, come bitcoin.

                                 Problemi derivanti dal
                                 lock-in con il fornitore

Information Security & Privacy                              28.11.18                                  ww
Mobile & Smart Working                                                                      ITALIA GESTIONI org

                           Utilizzo sempre maggiore di device mobili, anche al di
                                         fuori dei confini aziendali

                   Mercato Mobile                                              97%
                    Phone 2017
                      mondo                                                 delle aziende
                                                                           mette device
                    400 mld $                                                 mobili a
                                                                          disposizione dei
                     (+4,3%)                      Utilizzatori               dipendenti
                                                smartphone nel
                                                    mondo

                                                2,9 mld       entro
                                                    il 2020

 Information Security & Privacy Smart Working           28.11.18                       wwww.osservatori.net
Fonte:  Gartner;   Osservatorio
Mobile & Smart Working                                                                                             ITALIA GESTIONI org

                                 Nuove tipologie di
                                 attacchi (phishing,
                                      SMShing)

                                 Diffusione malware
                                      mobile e
                                     app infette
                                                                     Protesters demand
                                                                    Russia stop blocking
                                  Utilizzo di device                Telegram messenger
                                 personali in azienda
                                        (BYOD)                               app
                                                                Hundreds of people rallied in Moscow on Sunday to
                                                                 demand the unblocking of the Telegram app, the
                                                                  second protest in the Russian capital since the
                                                                authorities blocked the popular messaging service
                                 Crescente utilizzo di                              last month
                                  sistemi di mobile
                                       payment

Information Security & Privacy                           28.11.18                                         www.osservatori.net
Big Data                                                                                         ITALIA GESTIONI org

                               Analisi di grandi moli di dati al fine di estrapolare
                                              informazioni di valore

                     Mercato Big                                                2,5    Exabyte
                     Data 2018
                       mondo                         Mercato                     nuovi dati
                                                  Analytics 2017                 creati ogni
                     42 mld $                         Italia                       giorno
                      (+20%)                                                      dal 2012
                                                   1,39 mld €
                                                     (+26%)

 Information Security & Privacy Big Data Analytics; IBM   28.11.18                          www.osservatori.net
Fonte:  Statista; Osservatorio
Big Data                                                                                                           ITALIA GESTIONI org

                                 Nuove esigenze di
                                 protezione dei dati
                                      personali

                                  Aumento possibili
                                                                         Why real-time
                                    vulnerabilità
                                                                     visibility into big data
                                                                         will help keep
                                 Utilizzo di strumenti                  networks secure
                                 di Analytics in ottica          With threats becoming both more severe and more
                                                                    prevalent, businesses need to gain real-time
                                       preventiva                   visibility into big data to keep networks and
                                                                  endpoints secure. This is because organisations
                                                                   now have access to unprecedented amounts of
                                                                  data from endpoints, networks, servers, and the
                                  Monitoraggio delle                                   perimeter.

                                     minacce in
                                      real-time

Information Security & Privacy                            28.11.18                                       www.osservatori.net
Internet of Things                                                                            ITALIA GESTIONI org

                            Connessione alla rete di oggetti intelligenti in grado di
                                    interagire con l’ambiente circostante

                    Mercato IoT                                                  8,4
                       2017                                                    miliardi
                      mondo                          Mercato IoT
                                                        2017
                                                        Italia                    unità
                       2.000                                                  installate al
                       mld $                         3,7mld €                     2017
                                                      (+32%)
 Information Security & Privacy Internet of Things         28.11.18                     www.osservatori.net
Fonte:  Gartner;   Osservatorio
Internet of Things                                                                                                      ITALIA GESTIONI org

                                    Aumento dei
                                  possibili punti di
                                      accesso

                                  Aumento attacchi
                                    DoS e DDoS                      Nel petto di 350 mila
                                                                      americani ci sono
                                                                    pacemaker a rischio
                                 Controllo illegittimo               attacco informatico
                                     dei device                     Trecentocinquantamila defibrillatori interni negli
                                     da remoto                        Stati Uniti potrebbero essere vulnerabili a un
                                                                    attacco informatico o soggetti a consumi anomali
                                                                       delle batterie, e devono essere aggiornati.

                                   Necessità di un
                                 approccio security-
                                     by-design

Information Security & Privacy                           28.11.18                                             www.osservatori.net
Social Network                                                                                  ITALIA GESTIONI org

                             Incremento della visibilità aziendale e costruzione di un
                                       nuovo rapporto con i consumatori

                        Mercato
                      Social Media                                            2,79   miliardi
                      Advertising
                      2017 mondo                   4,1   milioni
                                                                               utenti social
                                                      video                       attivi
                       41 mld $                   YouTube visti
                                                  in un minuto

 Information Security & Privacy                           28.11.18                        www.osservatori.net
Fonte:  Statista; wearesocial
Social Network                                                                                                     ITALIA GESTIONI org

                                 Abbattimento dei
                                      confini
                                   della privacy

                                 Attacchi più mirati
                                     e profilati                   Facebook ancora sotto
                                                                  accusa: «Così gli hacker
                                                                  russi hanno manipolato
                                                                        le elezioni»
                                  Furto d’identità            Se Facebook, nel settembre dell'anno scorso, aveva
                                                                ammesso per la prima volta, dopo averla negata
                                                                   con forza, l'ingerenza di hacker russi nella
                                                               campagna presidenziale degli Stati Uniti del 2016,
                                                                oggi sono arrivate le prime accuse documentate,
                                                               che coinvolgono anche altri social network, come
                                                                               Instagram e Twitter.
                                   Possibili danni
                                   reputazionali

Information Security & Privacy                         28.11.18                                         www.osservatori.net
Artificial Intelligence                                                                      ITALIA GESTIONI org

                                 Sistemi che pensano e agiscono razionalmente,
                                      simulando il comportamento umano

           Mercato Artificial
         Intelligence mondo:
                                                                                         56%
                  da
                                                                                 delle grandi imprese
          $643.7 milioni nel
                                                                                  in Italia ha avviato
                2016
                                                                                 progetti di Artificial
                   a
                                                                                      Intelligence
            $36.8 miliardi
               al 2025

 Information Security & Privacy Artificial Intelligence   28.11.18                     www.osservatori.net
Fonte:  Tractica;  Osservatorio
Artificial Intelligence                                                                                                  ITALIA GESTIONI org

                                  Questioni etiche

                                 Utilizzo dell’AI per
                                       attacchi                           AI can help
                                    targettizzati                  cybersecurity—If it can
                                                                   fight through the hype
                                                                     The breakthrough powering these new panaceas?
                                 Implicazioni legate               Artificial intelligence that, the sales pitch invariably
                                                                    goes, can instantly spot any malware on a network,
                                    alla privacy                   guide incident response, and detect intrusions before
                                                                                          they start.

                                     Creazione di
                                      soluzioni di
                                 sicurezza adattative

Information Security & Privacy                          28.11.18                                              www.osservatori.net
Blockchain                                                                                    ITALIA GESTIONI org

                              Creazione di un database distribuito per la gestione di
                                 transazioni condivisibili tra più nodi di una rete

       Mercato Blockchain:
                                                                             327   miliardi
                  da                                                           di dollari
            $210 milioni                               331
              nel 2016                                                       valore delle
                   a                                 progetti                criptovalute
            $2,3 miliardi                            avviati a                  attive
                                                  livello globale
               al 2021
                                                     dal 2016

 Information Security & Privacy                            28.11.18                      www.osservatori.net
Fonte:  Tractica;  Osservatorio Blockchain & Distributed Ledger
Blockchain                                                                                                     ITALIA GESTIONI org

                                   Mancanza di
                                   supervisione
                                    legislativa

                                  Piattaforme di
                                     sicurezza
                                 blockchain-based                How blockchain can
                                                                save consumers from
                                     Difficile                   a hack like Equifax
                                 manomissione dei
                                                                In the future, blockchain infrastructure will
                                       dati                         help mitigate the effect and scope of
                                                                 cyberattacks through its two fundamental
                                                                    characteristics: decentralization and
                                                                                cryptography.

                                 Minore rischio di
                                  attacchi DDoS

Information Security & Privacy                       28.11.18                                            www.osservatori.net
The Art of Deception                                                           ITALIA GESTIONI org

                                 In The Art of Deception, the world's most
                                 notorious hacker gives new meaning to the old
                                 adage, "It takes a thief to catch a thief."
                                 Focusing on the human factors involved with
                                 information security, Mitnick explains why all the
                                 firewalls and encryption protocols in the world
                                 will never be enough to stop a savvy grifter
                                 intent on rifling a corporate database or an irate
                                 employee determined to crash a system.

Information Security & Privacy           28.11.18                       www.italiagestioni.org
Data and Goliath                                                                             ITALIA GESTIONI org

                                 Data is everywhere. We create it every time we go online, turn
                                 our phone on (or off) or pay with a credit card. This data is
                                 stored, studied, bought and sold by companies and governments
                                 for surveillance and for control. "Foremost security expert"
                                 (Wired) Bruce Schneier shows how this data has led to a double-
                                 edged Internet-a Web that gives power to the people but is
                                 abused by the institutions on which those people depend. In
                                 Data and Goliath, Schneier reveals the full extent of surveillance,
                                 censorship and propaganda in society today, examining the risks
                                 of cybercrime, cyberterrorism and cyberwar. He shares
                                 technological, legal and social solutions that can help shape a
                                 more equal, private and secure world.

Information Security & Privacy               28.11.18                                 www.italiagestioni.org
Cyber War                                                                                   ITALIA GESTIONI org

                                 Written by former New York Times Bestselling author, former
                                 presidential advisor and counter-terrorism expert Richard A.
                                 Clarke, Cyber War is a personal look into the role that cyber
                                 attacks play in geopolitical conflict. Taking readers right into
                                 the “Situation Room” of the White House, where cyber ploys
                                 feature as a constant in todays warzones. Starting with the
                                 integral role a cyber attack played in jamming of radars in an
                                 Insraeli bombing run over Syria, the tone is from the start both
                                 conversational and action packed. A non-jargon filled text,
                                 Cyber War does a great job at showing the real world impacts
                                 of cyber attacks and defense, as well as show the extent to
                                 which cyber warfare is a major threat to the United States.

Information Security & Privacy              28.11.18                                 www.italiagestioni.org
Spam Nation                                                                                   ITALIA GESTIONI org

                                 In Spam Nation, investigative journalist and cybersecurity expert
                                 Brian Krebs unmasks the criminal masterminds driving some of
                                 the biggest spam and hacker operations targeting Americans and
                                 their bank accounts. Tracing the rise, fall, and alarming
                                 resurrection of the digital mafia behind the two largest spam
                                 pharmacies-and countless viruses, phishing, and spyware
                                 attacks-he delivers the first definitive narrative of the global spam
                                 problem and its threat to consumers everywhere.
                                 Blending cutting-edge research, investigative reporting, and
                                 firsthand interviews, this terrifying true story reveals how we
                                 unwittingly invite these digital thieves into our lives every day.
                                 From unassuming computer programmers right next door to
                                 digital mobsters like "Cosma"-who unleashed a massive malware
                                 attack that has stolen thousands of Americans' logins and
                                 passwords-Krebs uncovers the shocking lengths to which these
                                 people will go to profit from our data and our wallets.

Information Security & Privacy              28.11.18                                   www.italiagestioni.org
IN COLLABORAZIONE DI

Lo stato attuale dell’Information Security
  in Italia e la gestione del fattore umano
              ITALIA GESTIONI info@italiagestioni.org

BUL, una leva competitiva per il business: focus sulla cybersecurity

  www.italiagestioni.org
Agenda
                                                                        ITALIA GESTIONI org

       Le minacce e vulnerabilità che mettono in pericolo la sicurezza

       Lo stato attuale dell’information security in Italia

       Le competenze ed i ruoli della gestione dell’Information Security
        & Privacy

       La gestione del fattore umano

Information Security & Privacy            28.11.18              www.italiagestioni.org
Le variabili in gioco
                                                               ITALIA GESTIONI org

                                 Tipologie di
                                   attacco
               Fonti di                           Vulnerabilità
               attacco

Information Security & Privacy         28.11.18        www.italiagestioni.org
Le fonti di attacco
                                                                                                              ITALIA GESTIONI org

                                                                Competitor
               Lavoratori                      Ex
                 attuali                                                                   Cyber
                                           lavoratori
                                                                                          criminali

      Interne                                                                                                Esterne
                                 Collaboratori                               Hacktivist
                                    diretti              Provider
                                                        servizi IT

Fonte: Survey 2016 Osservatorio information Security & Privacy
Information Security & Privacy                                 28.11.18                               www.italiagestioni.org
Le principali tipologie di attacco
                                                                           ITALIA GESTIONI org

                                        Malware

                     Attacchi
                                                             Phishing
                     DoS/DDoS

                   56%
                           Ransomware                  Spamming

Information Security & Privacy              28.11.18               www.italiagestioni.org
Le principali tipologie di attacco
                                                                             ITALIA GESTIONI org

                                          Malware

          Programma dannoso inserito
           in un sistema con l’intento                          +95%
               di compromettere                             Crescita del
           confidenzialità, integrità e                    malware come
               disponibilità delle                       vettore di attacco
           informazioni della vittima                         nel 2017
                                                            Fonte: CLUSIT

Information Security & Privacy                28.11.18               www.italiagestioni.org
Le principali tipologie di attacco
                                                                                     ITALIA GESTIONI org

                                             Phishing

         Tentativo di truffa che ha per
        scopo il furto di dati personali
       degli utenti ignari i quali, spinti                          95%
       dalla curiosità o tratti in inganno                    Attacchi a reti
            dal mittente della mail,                           aziendali che
                                                             vengono messi in
        “abboccano”, cliccando sul link
                                                            atto tramite spear
        malevolo, inserendo le proprie                           phishing
       credenziali oppure scaricando un                      Fonte: SANS Institute
                allegato infetto.

Information Security & Privacy                   28.11.18                  www.italiagestioni.org
Alcuni esempi di phishing
                                                   ITALIA GESTIONI org

Information Security & Privacy   28.11.18   www.italiagestioni.org
Le principali tipologie di attacco
                                                                                 ITALIA GESTIONI org

                                           Spamming

       Invio imponente e indiscriminato
       di messaggi di posta elettronica,                         56%
         generalmente con contenuto                       Quantità di spam
        promozionale, senza il consenso                   nocivo presente
                del destinatario.                         nei flussi e-mail
       Può essere utilizzato per inviare                      nel 2017
                                                          Fonte: Kaspersky Lab
           trojan horse, virus, worm,
          spyware e attacchi phishing.

Information Security & Privacy                 28.11.18                 www.italiagestioni.org
Le principali tipologie di attacco
                                                                                  ITALIA GESTIONI org

                                           Ransomware

            Particolare tipo di malware
             che impedisce l’accesso al                      11,5 mld $
               sistema infettato (per                      Costo dei danni
              esempio criptando i file                      provocati da
             presenti su un dispositivo)                   ransomware al
            in cambio di una somma di                           2019
                                                           Fonte: Cybersecurity
              denaro da pagare per la                           Ventures
                   sua rimozione.

Information Security & Privacy                  28.11.18                 www.italiagestioni.org
Alcuni esempi di ransomware
                                                    ITALIA GESTIONI org

Information Security & Privacy   28.11.18   www.italiagestioni.org
Le principali tipologie di attacco
                                                                                  ITALIA GESTIONI org

                                      Attacchi DoS/DDoS

               Attacchi finalizzati a
          interrompere la continuità di
        servizio. Possono essere messi in                      277 ore
            atto generando un numero                      Massima durata di
        eccessivo di richieste al server o                 un attacco DDoS
         un volume di traffico maggiore                        nel 2017
                                                           Fonte: Kaspersky Lab
         rispetto alla banda disponibile,
              saturando le risorse a
                   disposizione.

Information Security & Privacy                 28.11.18                   www.italiagestioni.org
Le vulnerabilità
                                                                                          ITALIA GESTIONI org

 78%                      56%                47%                  33%             18%
        Scarsa                                                     Presenza di
   consapevolezza                               Accesso in
                              Distrazione                         device mobile       Architettura
    rispetto alle                              mobilità alle
                             delle persone                          personali         IT obsoleta
   policy aziendali                            informazioni
                                                                     (BYOD)

Fonte: Survey 2016 Osservatorio information Security & Privacy
Information Security & Privacy                         28.11.18                   www.italiagestioni.org
Agenda
                                                                        ITALIA GESTIONI org

       Le minacce e vulnerabilità che mettono in pericolo la sicurezza

       Lo stato attuale dell’information security in Italia

       Le competenze ed i ruoli della gestione dell’Information Security
        & Privacy

       La gestione del fattore umano

Information Security & Privacy            28.11.18              www.italiagestioni.org
Il mercato Information Security 2017
                                                                       ITALIA GESTIONI org

                          976            +12 %         1090
                                                        mln €
                           mln €

                            2016                        2017
Campione: 1107 organizzazioni italiane

Information Security & Privacy              28.11.18           www.italiagestioni.org
La variazione del budget
                                                    ITALIA GESTIONI org

                 4%              75%

Campione: 160 grandi imprese

Information Security & Privacy    28.11.18   www.italiagestioni.org
La scomposizione del mercato Information Security
                                                                                                                                           ITALIA GESTIONI org
                                                                                            Business
           14%                                                                            Continuity /
                                                                                       Disaster Recovery
                                                                                                                                   …    GDPR compliance
                                                                    Network
                                                                    Security

                                                                                                       …

                                                                                                                                            …
                                                                                                                       Security
                                                                                                                        testing
        Incidenza sul budget

                                                                                                           Incident Response
                                                                       Identity & Access
                                                                         Management                           Security Awareness e
                                                                                                                     Training
                                                                                                                                Protezione
                                                                          Data Loss                             Cyber         device mobili
                                                                         Prevention
                                                                                                Manufacturing Insurance
                                                             Protezione                            Process
                                                            Social Media                         Automation
                                                                                   Fraud
                                                                                 Detection
                                                         Forensic
                                                         Support                                                                    Protezione
                               Protezione ambienti                                                                                ambienti Cloud
                               Artificial Intelligence                                              Protezione dispositivi IoT
                                                                                           Protezione tecnologie Blockchain

                                       Percentuale aziende che dichiara una crescita del budget                                            70%
Campione: 160 grandi imprese

Information Security & Privacy                                                         28.11.18                                    www.italiagestioni.org
I trend dell’innovazione digitale
                                                                                           ITALIA GESTIONI org

                    Artificial                             Big
                  Intelligence                            Data             Cloud

                   Blockchain                      Internet       Social            Mobile
                                                   of Things      Media

                 Grado di comprensione del trend

                 Priorità di intervento

Information Security & Privacy                         28.11.18                    www.italiagestioni.org
Le PMI: i trend tecnologici e l’impatto sulla security
                                                                                                                   ITALIA GESTIONI org

                                                               Medie
                                                                                         55%           18%       10% 9% 8%
                                                              imprese

                                                               Piccole
                                                                                   30%         30%         16%     16% 8%
                                                              imprese

                                                               Micro                 38%         27%        14%     14% 7%
                                                              imprese

                                                                     Principale trend che influenza le scelte di security:

                                                                             Cloud              Big Data               Social

                                                                             Mobile             Internet of Things
Dati ottenuti tramite un’elaborazione statistica di
un campione di 947 micro, piccole e medie imprese (addetti compresi tra 2 e 249)

Information Security & Privacy                                          28.11.18                           www.italiagestioni.org
Le principali motivazioni di spesa delle PMI                                                              ITALIA GESTIONI org

          TUTELA DEI DATI DEI CLIENTI                                              ADEGUAMENTO ALLE NORMATIVE

                                             45%                                                         19%

       ATTACCHI     INFORMATICI                      TUTELA DELLA PROPRIETÀ                   PROTEZIONE   DI AMBITI
                 SUBITI                                    INTELLETTUALE                        APPLICATIVI CORE

                             11%                                                   8%                           6%

Dati ottenuti tramite un’elaborazione statistica di
un campione di 947 micro, piccole e medie imprese (addetti compresi tra 2 e 249)

Information Security & Privacy                                          28.11.18                    www.italiagestioni.org
Agenda
                                                                        ITALIA GESTIONI org

       Le minacce e vulnerabilità che mettono in pericolo la sicurezza

       Lo stato attuale dell’information security in Italia

       Le competenze ed i ruoli della gestione dell’Information Security
        & Privacy

       La gestione del fattore umano

Information Security & Privacy            28.11.18              www.italiagestioni.org
La crescita dell’organico
                                                                                      ITALIA GESTIONI org

                 Information Security                               Privacy

                                           Organizzazioni che
                                         prevedono un aumento
                   39%                       dell’organico
                                                                       49%

                                           Organizzazioni che
                                             prevedono una
                   2%                   diminuzione dell’organico      1%
Campione: 160 grandi imprese

Information Security & Privacy                       28.11.18                 www.italiagestioni.org
Il Chief Information Security Officer - CISO
                                                                                       ITALIA GESTIONI org
 Executive responsabile della gestione dell'information security all'interno di un'organizzazione

                                                                   Si occupa di definire la
                                                                    visione strategica, di
                                                                  implementare programmi
                                                                   a protezione degli asset
                                                                       informativi e di
                                                                  identificare, sviluppare e
                                                                      mettere in campo
                                                                  processi volti a mitigare i
                                                                       rischi derivanti
                                                                   dall’adozione pervasiva
                                                                   delle tecnologie digitali

Information Security & Privacy                   28.11.18                      www.italiagestioni.org
La presenza del CISO nelle organizzazioni
                                                                                                  ITALIA GESTIONI org

                           5%

                  28%                                                       Nel 2016
                                    46%
                                                                         oltre la metà
                                                                       delle aziende non
                     9%                                                  aveva ancora
                           12%                                        introdotto un CISO
                                                                           in maniera
                 Figura formalizzata                                     formalizzata
                 Presente, ma non formalmente
                 In introduzione
                 Responsabilità del CIO
                 Responsabilità di altra funzione
                                                    Fonte: Survey 2016 Osservatorio Information Security & Privacy

Information Security & Privacy                       28.11.18                              www.italiagestioni.org
Il posizionamento del CISO nelle organizzazioni
                                                                                                             ITALIA GESTIONI org

                                 6%2%
                                   2% 4…
                                       4%
                                       7%                                            A livello
                                                                                  internazionale
                                     10%                                        attualmente solo il
                 65%
                                                                               15% dei CISO riporta
                                                                               al CEO, ma si stima
                                                                               che entro il 2020 la
                 CIO                Operations                                 percentuale salga al
                 Board               Finance                                           50%
                 Sicurezza           Compliance
                 Risk                Altro

                                             Fonte: Survey 2016 Osservatorio Information Security & Privacy; K Logix Security

Information Security & Privacy                                 28.11.18                              www.italiagestioni.org
Le aree di responsabilità del CISO
                                                                                                      ITALIA GESTIONI org
                                                    Assessment della
                                                       sicurezza

                      Investigazione                      81%                Identificazione delle
                                              26%                      69%
                         forense                                                   minacce

             Definizione delle                                                       Definizione delle
               architetture             44%                                  68%          policy

          Definizione iniziative        55%                                  63%   Scouting dei prodotti
             di formazione                                                             di sicurezza

                         Risposta                                             Analisi del rischio
                                              61%                      62%
                       agli incidenti                    62%                        cyber

                                                Monitoraggio degli
Campione: 160 grandi imprese                    eventi di sicurezza

Information Security & Privacy                              28.11.18                          www.italiagestioni.org
Le caratteristiche del CISO moderno
                                           ITALIA GESTIONI org

                  Leadership                                                   Communication

                                              Strategic Thinking
            Team building                                                      Technology expertise

                                             Regulation awareness

               Crisis Management                                              Risk awareness

                                 Problem solving             Data driven approach

Information Security & Privacy                           28.11.18                     www.italiagestioni.org
Le nuove professionalità in ambito security
                                                                                                          ITALIA GESTIONI org

  76%                     57%             56%             55%               39%             28%               19%
            Diffusione

  SECURITY                SECURITY       SECURITY        SECURITY           ETHICAL         SECURITY          MACHINE
ADMINISTRATOR            ARCHITECT       ENGINEER        ANALYST            HACKER         DEVELOPER         LEARNING
                                                                                                             SPECIALIST
                            Cura il                       Valuta le
                                         Monitora i                       Mette in atto
                           disegno                      vulnerabilità
   Rende                                  sistemi e                        soluzioni in                      Sviluppa e
                         armonico e                     che possono
operative le                              propone                            grado di       Sviluppa          monitora
                          coerente                       interessare
  soluzioni                               soluzioni                       dimostrare le    soluzioni di      sistemi di
                             delle                           reti,
tecnologiche                            relative alla                     vulnerabilità      security        risposta in
                         soluzioni di                     apparati,
 di security                            risposta agli                      di cui soffre                      real-time
                         sicurezza e                    applicazioni
                                          incidenti                         l’azienda
                         delle policy                      e servizi
Campione: 160 grandi imprese

Information Security & Privacy                                 28.11.18                           www.italiagestioni.org
Il Data Protection Officer - DPO
                                                                                            ITALIA GESTIONI org

                Figura volta a facilitare il rispetto delle disposizioni dettate dal GDPR

            Si tratta di una figura con compiti
                eterogenei, alcuni di natura
                ispettiva (sorvegliare), altri
            consulenziali (dare pareri), alcuni
               interni all’organizzazione del
             Titolare, altri esterni (rapporto
            con gli interessati e con l’Autorità
                        di controllo).

Information Security & Privacy                       28.11.18                      www.italiagestioni.org
Il Data Protection Officer - DPO
                                                                                            ITALIA GESTIONI org

                Figura volta a facilitare il rispetto delle disposizioni dettate dal GDPR

                    È obbligatorio se:
            il trattamento è effettuato da
         un’Autorità pubblica o da un organismo
                          pubblico
        il “core business” dell’azienda consiste
                in attività che richiedono il
         monitoraggio regolare e sistematico di
            dati degli interessati su larga scala
        il “core business” dell’azienda consiste
          nel trattamento su larga scala di dati
                 “sensibili” e “giudiziari”.

Information Security & Privacy                       28.11.18                      www.italiagestioni.org
Il Data Protection Officer - DPO
                                                                                            ITALIA GESTIONI org

                          Presenza                                      Attività

    Figura formalizzata                                             Assicurare il rispetto dei
    interna all’azienda                                       93%   requisiti del GDPR

    Figura non
    formalizzata                 15%   15%                          Sorvegliare l’osservanza del
    interna all’azienda                                       76%   Regolamento
    Responsabilità                           10%
    delegata a una
    figura esterna                            3%
                                                                    Fornire pareri al Titolare o al
                                                              59%   Responsabile del trattamento
    In introduzione nei
    prossimi 12 mesi

    Non esiste e non se
                                 57%
                                                                    Gestire i rapporti con gli
    ne prevede                                                55%   interessati e con l’Autorità
    l’introduzione

Campione: 160 grandi imprese

Information Security & Privacy                     28.11.18                         www.italiagestioni.org
Agenda
                                                                       ITALIA GESTIONI org

       Le minacce e vulnerabilità che mettono in pericolo la sicurezza

       Lo stato attuale dell’information security in Italia

       Le competenze ed i ruoli della gestione dell’Information Security
        & Privacy

       La gestione del fattore umano

Information Security & Privacy            28.11.18              www.italiagestioni.org
Le vulnerabilità
                                                                                          ITALIA GESTIONI org

 78%                      56%                47%                  33%             18%
        Scarsa                                                     Presenza di
   consapevolezza                               Accesso in
                              Distrazione                         device mobile       Architettura
    rispetto alle                              mobilità alle
                             delle persone                          personali         IT obsoleta
   policy aziendali                            informazioni
                                                                     (BYOD)

Fonte: Survey 2016 Osservatorio information Security & Privacy
Information Security & Privacy                         28.11.18                   www.italiagestioni.org
Il fattore umano: Social Engineering
                                                              ITALIA GESTIONI org

         Tecnica basata sullo studio del
          comportamento individuale,
            che fa leva su elementi
           psicologici ed emozionali.

          Il criminale punta a generare
               empatia nella vittima
           dell’attacco per ottenere le
             informazioni necessarie a
                perpetrare la frode

Information Security & Privacy             28.11.18   www.italiagestioni.org
Social Engineering… non solo phishing
                                                                           ITALIA GESTIONI org

                                 Raccolta di informazioni sulla vittima
                                        (dipendente aziendale)

                                  Studio accurato delle relazioni e dei
                                             collegamenti

                                        Attacco «customizzato»
                                  (es. mail che sembra provenire da un
                                  collega o da un Executive aziendale)

                                  Accesso alla rete aziendale o truffa
                                               finanziaria

Information Security & Privacy   28.11.18                           www.italiagestioni.org
Social Engineering… non solo phishing
                                                   ITALIA GESTIONI org

Information Security & Privacy   28.11.18   www.italiagestioni.org
I piani di formazione sulla security
                                                                                      ITALIA GESTIONI org

                                 Piano di
                                 formazione
   33%                                                         Principale ostacolo
                                 pluriennale
                                                              all’introduzione di un
                                                               piano di formazione
                                 Piano di
         46%                     formazione
                                 annuale
                                                                Scarsa sponsorizzazione
 21%                                                     55%         da parte del
                                 Nessun piano di                   Top Management
                                 formazione

Campione: 154 grandi imprese

Information Security & Privacy                     28.11.18                   www.italiagestioni.org
Le principali motivazioni per la definizione di un piano di
 formazione sulla security                                                                                        ITALIA GESTIONI org

                                                                                 Necessità di adeguamento al GDPR e/o ad
                                       74%                                       altre normative di settore

                          47%                         Elementi di contesto

                         45%                        Risultato dell’analisi degli scenari di rischio e dei conseguenti
                                                    impatti per la sicurezza svolta

               23%             Attacchi informatici subiti in passato dall’organizzazione

              21%           Imposizione della capogruppo

              21%           Sponsorizzazione da parte del Top Management

              19%          Risultato dell’analisi tecnologica delle vulnerabilità effettuata attraverso
                           penetration test

        13%          Benchmark con altre aziende competitor

Campione: 154 grandi imprese

Information Security & Privacy                                     28.11.18                               www.italiagestioni.org
I principali obiettivi del piano di formazione sulla security
                                                                                                             ITALIA GESTIONI org
                                                                                                      Aumentare la
                                                                                                      consapevolezza di tutti
                                                95%                                                   i dipendenti aziendali

                                   67%                                   Ridurre il numero di incidenti di sicurezza

                                                                 Evitare i costi e il danno reputazionale che può
                                 60%
                                                                 derivare da un eventuale incidente di sicurezza

                                 59%                           Essere pienamente compliant al GDPR e/o ad altre
                                                               normative di settore

                      41%                     Accompagnare l’introduzione di nuove policy

                     38%                   Aumentare la consapevolezza del Top Management

                     37%                  Aumentare la consapevolezza di specifiche funzioni aziendali

           18%         Determinare la necessità o meno di investire in nuove tecnologie

Campione: 154 grandi imprese

Information Security & Privacy                                28.11.18                               www.italiagestioni.org
Gli indicatori utilizzati per definire il piano di formazione
                                                                                                  ITALIA GESTIONI org

      51%                  43%             43%               26%            24%                  23%

                                                            Numero di
                          Numero di                             errori
       Tassi di        comunicazioni      Numero di        operativi che    Numero di
                                                                                                Numero di
     apertura/            relative a    nuovi assunti o         hanno         utenti
                                                                                                 attacchi
    click di mail          sospette      di dipendenti        causato        coinvolti
                                                                                                  cyber
     di phishing         minacce di     non formati in       perdita di        negli
                                                                                                subiti dall’
      simulate            sicurezza         passato             dati o     incidenti di
                                                                                              organizzazione
                        riportate dai                      rilavorazioni    sicurezza
                         dipendenti                         di processi
                                                               interni

Campione: 154 grandi imprese

Information Security & Privacy                            28.11.18                        www.italiagestioni.org
Gli attori convolti nella definizione del piano di formazione
                                                                             ITALIA GESTIONI org

             IT
              z

                                    HR
                                     z

                                                  Security
                                                         z

                                                               Altri:
                                                                Risk Management
                                                                Linee di Business
                                                                Operations
        Compliance
              z
                                     Top
                                     z
                                                 Consulenti
                                                         z
                                                                Associazioni sindacali
          o Legal                Management       esterni       Enti di normazione

Campione: 154 grandi imprese

Information Security & Privacy                28.11.18        www.italiagestioni.org
Le iniziative di sensibilizzazione
                                                                                  Formazione               ITALIA GESTIONI org
                                                          Campagne                  in aula
                                                          di phishing
                                                           simulate

                                   Test di
                               autovalutazione

                                                                                                      Corsi
                                                                         Invio mail                  online
                                                                              e
                                            Distribuzione                newsletter
                                              materiale
                                             informativo
                                              (voucher,
              Comunicazione                                                     Altro:
                                           cartellonistica,
            contact-point per le                                                 Attività di gamification o a premi
                                                ecc.)
               segnalazioni                                                      Incontri informali
                                                                                 Piattaforme social di confronto
Campione: 154 grandi imprese

Information Security & Privacy                                28.11.18                www.italiagestioni.org
La strategia di gestione del fattore umano
                                                                                               ITALIA GESTIONI org

                                                             45%
                          33%
                                           15%
                                                                                6%
  Approccio                                                                                    Approccio
completamente                                                                                completamente
   esterno                                                                                      interno
                    Coinvolgimento    Coinvolgimento    Coinvolgimento         Fasi di
                        di figure        di figure      occasionale di    impostazione e
                     esterne sia in    esterne nella     figure esterne   di svolgimento
                         fase di          fase di                          delle attività
                     impostazione      impostazione                          gestite da
                         che di        (svolgimento                        figure interne
                      svolgimento         gestito
                     delle attività   internamente)

Campione: 154 grandi imprese

Information Security & Privacy                         28.11.18                  www.italiagestioni.org
IN COLLABORAZIONE

Lo stato attuale dell’Information Security
  in Italia e la gestione del fattore umano
              ITALIA GESTIONI info@italiagestioni.org

BUL, una leva competitiva per il business: focus sulla cybersecurity

  WWW.ITALIAGESTIONI.ORG       info@italiagestioni.org
Puoi anche leggere