Osservatorio Information Security & Privacy - BUL, una leva competitiva per il business: focus sulla cybersecurity
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
Osservatorio Information Security &
Privacy
Alessandro Piva – alessandro.piva@polimi.it
Giorgia Dragoni - giorgia.dragoni@polimi.it
BUL, una leva competitiva per il business: focus sulla cybersecurity
www.osservatori.net
Agenda
Intervento introduttivo di scenario
• Il contesto di riferimento (principali attacchi dell’anno 2018, definizione di Information
Security)
• I trend dell’innovazione digitale e le implicazioni sulla security (Cloud, Mobile, Big Data,
Internet of Things, Social media, Artificial Intelligence, Blockchain)
Intervento di approfondimento:
• Le minacce e vulnerabilità che mettono in pericolo la sicurezza
• Lo stato attuale dell’information security in Italia (mercato, progettualità, policy nelle
aziende italiane)
• Le competenze ed i ruoli della gestione dell’Information Security & Privacy
• La gestione del fattore umano
• Social Engineering (principali tecniche di attacco ed esempi)
• I programmi di creazione di awareness (motivazioni, obiettivi, indicatori di valutazione,
principali iniziative implementate, approcci alla gestione del fattore umano)
Information Security & Privacy 28.11.18 www.osservatori.net
Il contesto di riferimento dell’information
security ed i trend emergenti
Alessandro Piva – alessandro.piva@polimi.it
BUL, una leva competitiva per il business: focus sulla cybersecurity
www.osservatori.net
L’Innovazione Digitale è un fattore essenziale per lo sviluppo del Paese STORY Gli Osservatori Digital Innovation della School of Management del Politecnico di Milano nascono nel 1999 con l’obiettivo di fare cultura in tutti i principali ambiti di Innovazione Digitale. Gli Osservatori sono oggi un punto di riferimento qualificato sull’Innovazione Digitale in Italia che integra attività di Ricerca, Comunicazione, Aggiornamento Continuo e Networking. MISSION Produrre e diffondere conoscenza sulle opportunità e gli impatti che le tecnologie digitali hanno su imprese, pubbliche amministrazioni e cittadini, tramite modelli interpretativi basati su solide evidenze empiriche e spazi di confronto indipendenti, pre-competitivi e duraturi nel tempo, che aggregano la domanda e l’offerta di Innovazione Digitale in Italia.
Gli Osservatori - I numeri chiave del 2017
Ricerca 150 pubblicazioni con Formazione
34 Osservatori i risultati delle Ricerche
180 workshop online,
89 Professori/ webinar e convegni online
Ricercatori/Analisti
5.500 uscite stampa (450 su
testate Top)
370 Partner e Sponsor
313.000 visitatori unici
del sito annuali
150.000 contatti
210 eventi (convegni e
workshop)
7.200 partecipanti ai
workshop
34.400 contatti social
18.500 partecipanti
3.400 abbonati premium
agli eventi
Network Comunicazione
Information Security & Privacy 28.11.18 www.osservatori.net
La mission e il target dell’Osservatorio
L’Osservatorio intende rispondere al bisogno
L’Osservatorio si rivolge a tutti coloro che si
di conoscere, comprendere e affrontare le
occupano di Security, da diversi punti di vista:
principali problematiche dell’Information
CIO, CSO, CISO, DPO, Internal Audit,
Security & Privacy e monitorare l’utilizzo di
Compliance Manager e Risk Manager
nuove tecniche e tecnologie a supporto di
delle principali imprese italiane
tale area da parte delle aziende end user
Information Security & Privacy 28.11.18 www.osservatori.net
Un contesto in rapida evoluzione: Gli attacchi gravi
registrati nel mondo
*Primi 6 mesi 2018
1200 1127
1012 1050
1000 +353% attacchi
873 verso
800 730* “Multiple Targets”
600
400
+34% attacchi
“Phishing/Social
200 Engineering”
0
2014 2015 2016 2017 2018
Fonte: Clusit
Information Security & Privacy 28.11.18 www.osservatori.net
Un contesto in rapida evoluzione: I principali attacchi 2018
Russian hackers made
Un attacco hacker ha
£9.4m from British Airways
bloccato la città di Atlanta
data breach'
2018
Cambridge Analytica
travolta dal Datagate:
bancarotta e chiusura
immediata
Information Security & Privacy 28.11.18 www.osservatori.net
Un contesto in rapida evoluzione: Il Regolamento Generale sulla Protezione dei
Dati (c.d. GDPR)
4 novembre 2010 24 maggio 2016 25 maggio 2018
La Commissione europea elabora
una proposta di riforma della
normativa in materia di protezione
dei dati personali
Entrata in vigore del
Regolamento Generale sulla
Garantire la sicurezza Protezione dei Dati (c.d. GDPR)
• Elevato sforzo di
dei dati personali compliance
mediante:
• Nuovi investimenti
• Nuovi ruoli
• Sanzioni fino a 20 Piena
milioni di euro o
organizzativi al 4% del fatturato applicabilità del
• Nuovi strumenti e
metodologie
annuo
Regolamento!
Information Security & Privacy 28.11.18 www.osservatori.net
Un contesto in rapida evoluzione: Le priorità di investimento dell’innovazione
digitale
2017
1° Consolidamento
applicativo
2°
Big Data & Business
Intelligence
3°
Digitalizzazione e
dematerializzazione
4° Sviluppo e rinnovo
CRM
…
Information Security,
10° Compliance e Risk Mgmt
Survey Innovation dell’Osservatorio Digital Transformation Academy che ha visto il coinvolgimento di oltre 200 Innovation Manager e CIO di grandi organizzazioni italiane nel 2016 e 2017
Information Security & Privacy 28.11.18 www.osservatori.netUn contesto in rapida evoluzione: Le priorità di investimento dell’innovazione
digitale
2017 2018
Big Data & Business
1° Consolidamento
applicativo 1° Intelligence
2°
Digitalizzazione e
2°
Big Data & Business
Intelligence dematerializzazione
3°
Digitalizzazione e
dematerializzazione 3° Consolidamento
applicativo
4° Sviluppo e rinnovo
CRM 4° Information Security,
Compliance e Risk Mgmt
… 5°
Industry
4.0
Sviluppo e rinnovo
10°
Information Security,
Compliance e Risk Mgmt 6° CRM
Survey Innovation dell’Osservatorio Digital Transformation Academy che ha visto il coinvolgimento di oltre 200 Innovation Manager e CIO di grandi organizzazioni italiane nel 2016 e 2017
Information Security & Privacy 28.11.18 www.osservatori.netInformation Security: definizione
Per information security si intende
l’insieme delle misure e degli
strumenti finalizzati a garantire e
preservare confidenzialità, Cosa si intende
integrità e disponibilità delle per Information
Security?
informazioni.
Information Security & Privacy 28.11.18 www.osservatori.netI principi di gestione della sicurezza informatica
Garanzia di riservatezza delle informazioni, riduzione dei
Confidenzialità rischi connessi all’accesso o all’uso delle informazioni in
(Confidentiality) forma non autorizzata
Integrità Garanzia di correttezza dei dati; l’informazione non deve
(Integrity) subire modifiche o cancellazioni
Disponibilità Garanzia di accesso e di usabilità dei dati nei modi e nei
(Availability) tempi richiesti
Information Security & Privacy 28.11.18 www.osservatori.netI trend dell’innovazione digitale che influenzano la
security CLOUD MOBILE BIG DATA
INTERNET SOCIAL ARTIFICIAL
OF THINGS MEDIA INTELLIGENCE BLOCKCHAIN
Information Security & Privacy 28.11.18 www.osservatori.netCloud Computing
Accesso ai servizi ICT on-demand e
self-service attraverso la rete
Mercato 82%
Public Cloud
2018 Mercato
Cloud 2018 Delle grandi
mondo aziende in Italia
Italia
utilizza servizi
140 mld $ Public Cloud in
2,34 mld €
(+21,4%) modo esteso
(+19%)
Information Security & Privacy Cloud Transformation 28.11.18 www.osservatori.net
Fonte: Gartner; OsservatorioCloud Computing
Possibili tentativi di
furto dei dati
Mancanza di controllo
sulle operations del
service provider Tesla, attacco hacker
al sistema cloud
Scarsa trasparenza
Massiccio attacco hacker ai danni della
rispetto agli obblighi Tesla, o meglio al suo sistema cloud che è
contrattuali stato usato per il "mining" di valute
digitali, come bitcoin.
Problemi derivanti dal
lock-in con il fornitore
Information Security & Privacy 28.11.18 www.osservatori.netMobile & Smart Working
Utilizzo sempre maggiore di device mobili, anche al di
fuori dei confini aziendali
Mercato Mobile 97%
Phone 2017
mondo delle aziende
mette device
400 mld $ mobili a
disposizione dei
(+4,3%) Utilizzatori dipendenti
smartphone nel
mondo
2,9 mld entro
il 2020
Information Security & Privacy Smart Working 28.11.18 www.osservatori.net
Fonte: Gartner; OsservatorioMobile & Smart Working
Nuove tipologie di
attacchi (phishing,
SMShing)
Diffusione malware
mobile e
app infette
Protesters demand
Russia stop blocking
Utilizzo di device Telegram messenger
personali in azienda
(BYOD) app
Hundreds of people rallied in Moscow on Sunday to
demand the unblocking of the Telegram app, the
second protest in the Russian capital since the
authorities blocked the popular messaging service
Crescente utilizzo di last month
sistemi di mobile
payment
Information Security & Privacy 28.11.18 www.osservatori.netBig Data
Analisi di grandi moli di dati al fine di estrapolare
informazioni di valore
Mercato Big 2,5 Exabyte
Data 2018
mondo Mercato nuovi dati
Analytics 2017 creati ogni
42 mld $ Italia giorno
(+20%) dal 2012
1,39 mld €
(+26%)
Information Security & Privacy Big Data Analytics; IBM 28.11.18 www.osservatori.net
Fonte: Statista; OsservatorioBig Data
Nuove esigenze di
protezione dei dati
personali
Aumento possibili
Why real-time
vulnerabilità
visibility into big data
will help keep
Utilizzo di strumenti networks secure
di Analytics in ottica With threats becoming both more severe and more
prevalent, businesses need to gain real-time
preventiva visibility into big data to keep networks and
endpoints secure. This is because organisations
now have access to unprecedented amounts of
data from endpoints, networks, servers, and the
Monitoraggio delle perimeter.
minacce in
real-time
Information Security & Privacy 28.11.18 www.osservatori.netInternet of Things
Connessione alla rete di oggetti intelligenti in grado di
interagire con l’ambiente circostante
Mercato IoT 8,4
2017 miliardi
mondo Mercato IoT
2017
Italia unità
2.000 installate al
mld $ 3,7mld € 2017
(+32%)
Information Security & Privacy Internet of Things 28.11.18 www.osservatori.net
Fonte: Gartner; OsservatorioInternet of Things
Aumento dei
possibili punti di
accesso
Aumento attacchi
DoS e DDoS Nel petto di 350 mila
americani ci sono
pacemaker a rischio
Controllo illegittimo attacco informatico
dei device Trecentocinquantamila defibrillatori interni negli
da remoto Stati Uniti potrebbero essere vulnerabili a un
attacco informatico o soggetti a consumi anomali
delle batterie, e devono essere aggiornati.
Necessità di un
approccio security-
by-design
Information Security & Privacy 28.11.18 www.osservatori.netSocial Network
Incremento della visibilità aziendale e costruzione di un
nuovo rapporto con i consumatori
Mercato
Social Media 2,79 miliardi
Advertising
2017 mondo 4,1 milioni
utenti social
video attivi
41 mld $ YouTube visti
in un minuto
Information Security & Privacy 28.11.18 www.osservatori.net
Fonte: Statista; wearesocialSocial Network
Abbattimento dei
confini
della privacy
Attacchi più mirati
e profilati Facebook ancora sotto
accusa: «Così gli hacker
russi hanno manipolato
le elezioni»
Furto d’identità Se Facebook, nel settembre dell'anno scorso, aveva
ammesso per la prima volta, dopo averla negata
con forza, l'ingerenza di hacker russi nella
campagna presidenziale degli Stati Uniti del 2016,
oggi sono arrivate le prime accuse documentate,
che coinvolgono anche altri social network, come
Instagram e Twitter.
Possibili danni
reputazionali
Information Security & Privacy 28.11.18 www.osservatori.netArtificial Intelligence
Sistemi che pensano e agiscono razionalmente,
simulando il comportamento umano
Mercato Artificial
Intelligence mondo:
56%
da
delle grandi imprese
$643.7 milioni nel
in Italia ha avviato
2016
progetti di Artificial
a
Intelligence
$36.8 miliardi
al 2025
Information Security & Privacy Artificial Intelligence 28.11.18 www.osservatori.net
Fonte: Tractica; OsservatorioArtificial Intelligence
Questioni etiche
Utilizzo dell’AI per
attacchi AI can help
targettizzati cybersecurity—If it can
fight through the hype
The breakthrough powering these new panaceas?
Implicazioni legate Artificial intelligence that, the sales pitch invariably
goes, can instantly spot any malware on a network,
alla privacy guide incident response, and detect intrusions before
they start.
Creazione di
soluzioni di
sicurezza adattative
Information Security & Privacy 28.11.18 www.osservatori.netBlockchain
Creazione di un database distribuito per la gestione di
transazioni condivisibili tra più nodi di una rete
Mercato Blockchain:
327 miliardi
da di dollari
$210 milioni 331
nel 2016 valore delle
a progetti criptovalute
$2,3 miliardi avviati a attive
livello globale
al 2021
dal 2016
Information Security & Privacy 28.11.18 www.osservatori.net
Fonte: Tractica; Osservatorio Blockchain & Distributed LedgerBlockchain
Mancanza di
supervisione
legislativa
Piattaforme di
sicurezza
blockchain-based How blockchain can
save consumers from
Difficile a hack like Equifax
manomissione dei
In the future, blockchain infrastructure will
dati help mitigate the effect and scope of
cyberattacks through its two fundamental
characteristics: decentralization and
cryptography.
Minore rischio di
attacchi DDoS
Information Security & Privacy 28.11.18 www.osservatori.netThe Art of Deception
In The Art of Deception, the world's most
notorious hacker gives new meaning to the old
adage, "It takes a thief to catch a thief."
Focusing on the human factors involved with
information security, Mitnick explains why all the
firewalls and encryption protocols in the world
will never be enough to stop a savvy grifter
intent on rifling a corporate database or an irate
employee determined to crash a system.
Information Security & Privacy 28.11.18 www.osservatori.netData and Goliath
Data is everywhere. We create it every time we go online, turn
our phone on (or off) or pay with a credit card. This data is
stored, studied, bought and sold by companies and governments
for surveillance and for control. "Foremost security expert"
(Wired) Bruce Schneier shows how this data has led to a double-
edged Internet-a Web that gives power to the people but is
abused by the institutions on which those people depend. In
Data and Goliath, Schneier reveals the full extent of surveillance,
censorship and propaganda in society today, examining the risks
of cybercrime, cyberterrorism and cyberwar. He shares
technological, legal and social solutions that can help shape a
more equal, private and secure world.
Information Security & Privacy 28.11.18 www.osservatori.netCyber War
Written by former New York Times Bestselling author, former
presidential advisor and counter-terrorism expert Richard A.
Clarke, Cyber War is a personal look into the role that cyber
attacks play in geopolitical conflict. Taking readers right into
the “Situation Room” of the White House, where cyber ploys
feature as a constant in todays warzones. Starting with the
integral role a cyber attack played in jamming of radars in an
Insraeli bombing run over Syria, the tone is from the start both
conversational and action packed. A non-jargon filled text,
Cyber War does a great job at showing the real world impacts
of cyber attacks and defense, as well as show the extent to
which cyber warfare is a major threat to the United States.
Information Security & Privacy 28.11.18 www.osservatori.netSpam Nation
In Spam Nation, investigative journalist and cybersecurity expert
Brian Krebs unmasks the criminal masterminds driving some of
the biggest spam and hacker operations targeting Americans and
their bank accounts. Tracing the rise, fall, and alarming
resurrection of the digital mafia behind the two largest spam
pharmacies-and countless viruses, phishing, and spyware
attacks-he delivers the first definitive narrative of the global spam
problem and its threat to consumers everywhere.
Blending cutting-edge research, investigative reporting, and
firsthand interviews, this terrifying true story reveals how we
unwittingly invite these digital thieves into our lives every day.
From unassuming computer programmers right next door to
digital mobsters like "Cosma"-who unleashed a massive malware
attack that has stolen thousands of Americans' logins and
passwords-Krebs uncovers the shocking lengths to which these
people will go to profit from our data and our wallets.
Information Security & Privacy 28.11.18 www.osservatori.netLo stato attuale dell’Information Security
in Italia e la gestione del fattore umano
Giorgia Dragoni - giorgia.dragoni@polimi.it
BUL, una leva competitiva per il business: focus sulla cybersecurity
www.osservatori.netAgenda
Le minacce e vulnerabilità che mettono in pericolo la sicurezza
Lo stato attuale dell’information security in Italia
Le competenze ed i ruoli della gestione dell’Information Security
& Privacy
La gestione del fattore umano
Information Security & Privacy 28.11.18 www.osservatori.netLe variabili in gioco
Tipologie di
attacco
Fonti di Vulnerabilità
attacco
Information Security & Privacy 28.11.18 www.osservatori.netLe fonti di attacco
Competitor
Lavoratori Ex
attuali Cyber
lavoratori
criminali
Interne Esterne
Collaboratori Hacktivist
diretti Provider
servizi IT
Fonte: Survey 2016 Osservatorio information Security & Privacy
Information Security & Privacy 28.11.18 www.osservatori.netLe principali tipologie di attacco
Malware
Attacchi
Phishing
DoS/DDoS
56%
Ransomware Spamming
Information Security & Privacy 28.11.18 www.osservatori.netLe principali tipologie di attacco
Malware
Programma dannoso inserito
in un sistema con l’intento +95%
di compromettere Crescita del
confidenzialità, integrità e malware come
disponibilità delle vettore di attacco
informazioni della vittima nel 2017
Fonte: CLUSIT
Information Security & Privacy 28.11.18 www.osservatori.netLe principali tipologie di attacco
Phishing
Tentativo di truffa che ha per
scopo il furto di dati personali
degli utenti ignari i quali, spinti 95%
dalla curiosità o tratti in inganno Attacchi a reti
dal mittente della mail, aziendali che
vengono messi in
“abboccano”, cliccando sul link
atto tramite spear
malevolo, inserendo le proprie phishing
credenziali oppure scaricando un Fonte: SANS Institute
allegato infetto.
Information Security & Privacy 28.11.18 www.osservatori.netAlcuni esempi di phishing Information Security & Privacy 28.11.18 www.osservatori.net
Le principali tipologie di attacco
Spamming
Invio imponente e indiscriminato
di messaggi di posta elettronica, 56%
generalmente con contenuto Quantità di spam
promozionale, senza il consenso nocivo presente
del destinatario. nei flussi e-mail
Può essere utilizzato per inviare nel 2017
Fonte: Kaspersky Lab
trojan horse, virus, worm,
spyware e attacchi phishing.
Information Security & Privacy 28.11.18 www.osservatori.netLe principali tipologie di attacco
Ransomware
Particolare tipo di malware
che impedisce l’accesso al 11,5 mld $
sistema infettato (per Costo dei danni
esempio criptando i file provocati da
presenti su un dispositivo) ransomware al
in cambio di una somma di 2019
Fonte: Cybersecurity
denaro da pagare per la Ventures
sua rimozione.
Information Security & Privacy 28.11.18 www.osservatori.netAlcuni esempi di ransomware Information Security & Privacy 28.11.18 www.osservatori.net
Le principali tipologie di attacco
Attacchi DoS/DDoS
Attacchi finalizzati a
interrompere la continuità di
servizio. Possono essere messi in 277 ore
atto generando un numero Massima durata di
eccessivo di richieste al server o un attacco DDoS
un volume di traffico maggiore nel 2017
Fonte: Kaspersky Lab
rispetto alla banda disponibile,
saturando le risorse a
disposizione.
Information Security & Privacy 28.11.18 www.osservatori.netLe vulnerabilità
78% 56% 47% 33% 18%
Scarsa Presenza di
consapevolezza Accesso in
Distrazione device mobile Architettura
rispetto alle mobilità alle
delle persone personali IT obsoleta
policy aziendali informazioni
(BYOD)
Fonte: Survey 2016 Osservatorio information Security & Privacy
Information Security & Privacy 28.11.18 www.osservatori.netAgenda
Le minacce e vulnerabilità che mettono in pericolo la sicurezza
Lo stato attuale dell’information security in Italia
Le competenze ed i ruoli della gestione dell’Information Security
& Privacy
La gestione del fattore umano
Information Security & Privacy 28.11.18 www.osservatori.netIl mercato Information Security 2017
976 +12 % 1090
mln €
mln €
2016 2017
Campione: 1107 organizzazioni italiane
Information Security & Privacy 28.11.18 www.osservatori.netLa variazione del budget
4% 75%
Campione: 160 grandi imprese
Information Security & Privacy 28.11.18 www.osservatori.netLa scomposizione del mercato Information Security
Business
14% Continuity /
Disaster Recovery
… GDPR compliance
Network
Security
…
…
Security
testing
Incidenza sul budget
Incident Response
Identity & Access
Management Security Awareness e
Training
Protezione
Data Loss Cyber device mobili
Prevention
Manufacturing Insurance
Protezione Process
Social Media Automation
Fraud
Detection
Forensic
Support Protezione
Protezione ambienti ambienti Cloud
Artificial Intelligence Protezione dispositivi IoT
Protezione tecnologie Blockchain
Percentuale aziende che dichiara una crescita del budget 70%
Campione: 160 grandi imprese
Information Security & Privacy 28.11.18 www.osservatori.netI trend dell’innovazione digitale
Artificial Big
Intelligence Data Cloud
Blockchain Internet Social Mobile
of Things Media
Grado di comprensione del trend
Priorità di intervento
Information Security & Privacy 28.11.18 www.osservatori.netLe PMI: i trend tecnologici e l’impatto sulla security
Medie
55% 18% 10% 9% 8%
imprese
Piccole
30% 30% 16% 16% 8%
imprese
Micro 38% 27% 14% 14% 7%
imprese
Principale trend che influenza le scelte di security:
Cloud Big Data Social
Mobile Internet of Things
Dati ottenuti tramite un’elaborazione statistica di
un campione di 947 micro, piccole e medie imprese (addetti compresi tra 2 e 249)
Information Security & Privacy 28.11.18 www.osservatori.netLe principali motivazioni di spesa delle PMI
TUTELA DEI DATI DEI CLIENTI ADEGUAMENTO ALLE NORMATIVE
45% 19%
ATTACCHI INFORMATICI TUTELA DELLA PROPRIETÀ PROTEZIONE DI AMBITI
SUBITI INTELLETTUALE APPLICATIVI CORE
11% 8% 6%
Dati ottenuti tramite un’elaborazione statistica di
un campione di 947 micro, piccole e medie imprese (addetti compresi tra 2 e 249)
Information Security & Privacy 28.11.18 www.osservatori.netAgenda
Le minacce e vulnerabilità che mettono in pericolo la sicurezza
Lo stato attuale dell’information security in Italia
Le competenze ed i ruoli della gestione dell’Information Security
& Privacy
La gestione del fattore umano
Information Security & Privacy 28.11.18 www.osservatori.netLa crescita dell’organico
Information Security Privacy
Organizzazioni che
prevedono un aumento
39% dell’organico
49%
Organizzazioni che
prevedono una
2% diminuzione dell’organico 1%
Campione: 160 grandi imprese
Information Security & Privacy 28.11.18 www.osservatori.netIl Chief Information Security Officer - CISO
Executive responsabile della gestione dell'information security all'interno di un'organizzazione
Si occupa di definire la
visione strategica, di
implementare programmi
a protezione degli asset
informativi e di
identificare, sviluppare e
mettere in campo
processi volti a mitigare i
rischi derivanti
dall’adozione pervasiva
delle tecnologie digitali
Information Security & Privacy 28.11.18 www.osservatori.netLa presenza del CISO nelle organizzazioni
5%
28% Nel 2016
46%
oltre la metà
delle aziende non
9% aveva ancora
12% introdotto un CISO
in maniera
Figura formalizzata formalizzata
Presente, ma non formalmente
In introduzione
Responsabilità del CIO
Responsabilità di altra funzione
Fonte: Survey 2016 Osservatorio Information Security & Privacy
Information Security & Privacy 28.11.18 www.osservatori.netIl posizionamento del CISO nelle organizzazioni
6%2%
2% 4…
4%
7% A livello
internazionale
10% attualmente solo il
65%
15% dei CISO riporta
al CEO, ma si stima
che entro il 2020 la
CIO Operations percentuale salga al
Board Finance 50%
Sicurezza Compliance
Risk Altro
Fonte: Survey 2016 Osservatorio Information Security & Privacy; K Logix Security
Information Security & Privacy 28.11.18 www.osservatori.netLe aree di responsabilità del CISO
Assessment della
sicurezza
Investigazione 81% Identificazione delle
26% 69%
forense minacce
Definizione delle Definizione delle
architetture 44% 68% policy
Definizione iniziative 55% 63% Scouting dei prodotti
di formazione di sicurezza
Risposta Analisi del rischio
61% 62%
agli incidenti 62% cyber
Monitoraggio degli
Campione: 160 grandi imprese eventi di sicurezza
Information Security & Privacy 28.11.18 www.osservatori.netLe caratteristiche del CISO moderno
Leadership Communication
Strategic Thinking
Team building Technology expertise
Regulation awareness
Crisis Management Risk awareness
Problem solving Data driven approach
Information Security & Privacy 28.11.18 www.osservatori.netLe nuove professionalità in ambito security
76% 57% 56% 55% 39% 28% 19%
Diffusione
SECURITY SECURITY SECURITY SECURITY ETHICAL SECURITY MACHINE
ADMINISTRATOR ARCHITECT ENGINEER ANALYST HACKER DEVELOPER LEARNING
SPECIALIST
Cura il Valuta le
Monitora i Mette in atto
disegno vulnerabilità
Rende sistemi e soluzioni in Sviluppa e
armonico e che possono
operative le propone grado di Sviluppa monitora
coerente interessare
soluzioni soluzioni dimostrare le soluzioni di sistemi di
delle reti,
tecnologiche relative alla vulnerabilità security risposta in
soluzioni di apparati,
di security risposta agli di cui soffre real-time
sicurezza e applicazioni
incidenti l’azienda
delle policy e servizi
Campione: 160 grandi imprese
Information Security & Privacy 28.11.18 www.osservatori.netIl Data Protection Officer - DPO
Figura volta a facilitare il rispetto delle disposizioni dettate dal GDPR
Si tratta di una figura con compiti
eterogenei, alcuni di natura
ispettiva (sorvegliare), altri
consulenziali (dare pareri), alcuni
interni all’organizzazione del
Titolare, altri esterni (rapporto
con gli interessati e con l’Autorità
di controllo).
Information Security & Privacy 28.11.18 www.osservatori.netIl Data Protection Officer - DPO
Figura volta a facilitare il rispetto delle disposizioni dettate dal GDPR
È obbligatorio se:
il trattamento è effettuato da
un’Autorità pubblica o da un organismo
pubblico
il “core business” dell’azienda consiste
in attività che richiedono il
monitoraggio regolare e sistematico di
dati degli interessati su larga scala
il “core business” dell’azienda consiste
nel trattamento su larga scala di dati
“sensibili” e “giudiziari”.
Information Security & Privacy 28.11.18 www.osservatori.netIl Data Protection Officer - DPO
Presenza Attività
Figura formalizzata Assicurare il rispetto dei
interna all’azienda 93% requisiti del GDPR
Figura non
formalizzata 15% 15% Sorvegliare l’osservanza del
interna all’azienda 76% Regolamento
Responsabilità 10%
delegata a una
figura esterna 3%
Fornire pareri al Titolare o al
59% Responsabile del trattamento
In introduzione nei
prossimi 12 mesi
Non esiste e non se
57%
Gestire i rapporti con gli
ne prevede 55% interessati e con l’Autorità
l’introduzione
Campione: 160 grandi imprese
Information Security & Privacy 28.11.18 www.osservatori.netAgenda
Le minacce e vulnerabilità che mettono in pericolo la sicurezza
Lo stato attuale dell’information security in Italia
Le competenze ed i ruoli della gestione dell’Information Security
& Privacy
La gestione del fattore umano
Information Security & Privacy 28.11.18 www.osservatori.netLe vulnerabilità
78% 56% 47% 33% 18%
Scarsa Presenza di
consapevolezza Accesso in
Distrazione device mobile Architettura
rispetto alle mobilità alle
delle persone personali IT obsoleta
policy aziendali informazioni
(BYOD)
Fonte: Survey 2016 Osservatorio information Security & Privacy
Information Security & Privacy 28.11.18 www.osservatori.netIl fattore umano: Social Engineering
Tecnica basata sullo studio del
comportamento individuale,
che fa leva su elementi
psicologici ed emozionali.
Il criminale punta a generare
empatia nella vittima
dell’attacco per ottenere le
informazioni necessarie a
perpetrare la frode
Information Security & Privacy 28.11.18 www.osservatori.netSocial Engineering… non solo phishing
Raccolta di informazioni sulla vittima
(dipendente aziendale)
Studio accurato delle relazioni e dei
collegamenti
Attacco «customizzato»
(es. mail che sembra provenire da un
collega o da un Executive aziendale)
Accesso alla rete aziendale o truffa
finanziaria
Information Security & Privacy 28.11.18 www.osservatori.netSocial Engineering… non solo phishing Information Security & Privacy 28.11.18 www.osservatori.net
I piani di formazione sulla security
Piano di
formazione
33% Principale ostacolo
pluriennale
all’introduzione di un
piano di formazione
Piano di
46% formazione
annuale
Scarsa sponsorizzazione
21% 55% da parte del
Nessun piano di Top Management
formazione
Campione: 154 grandi imprese
Information Security & Privacy 28.11.18 www.osservatori.netLe principali motivazioni per la definizione di un piano di
formazione sulla security
Necessità di adeguamento al GDPR e/o ad
74% altre normative di settore
47% Elementi di contesto
45% Risultato dell’analisi degli scenari di rischio e dei conseguenti
impatti per la sicurezza svolta
23% Attacchi informatici subiti in passato dall’organizzazione
21% Imposizione della capogruppo
21% Sponsorizzazione da parte del Top Management
19% Risultato dell’analisi tecnologica delle vulnerabilità effettuata attraverso
penetration test
13% Benchmark con altre aziende competitor
Campione: 154 grandi imprese
Information Security & Privacy 28.11.18 www.osservatori.netI principali obiettivi del piano di formazione sulla security
Aumentare la
consapevolezza di tutti
95% i dipendenti aziendali
67% Ridurre il numero di incidenti di sicurezza
Evitare i costi e il danno reputazionale che può
60%
derivare da un eventuale incidente di sicurezza
59% Essere pienamente compliant al GDPR e/o ad altre
normative di settore
41% Accompagnare l’introduzione di nuove policy
38% Aumentare la consapevolezza del Top Management
37% Aumentare la consapevolezza di specifiche funzioni aziendali
18% Determinare la necessità o meno di investire in nuove tecnologie
Campione: 154 grandi imprese
Information Security & Privacy 28.11.18 www.osservatori.netGli indicatori utilizzati per definire il piano di formazione
51% 43% 43% 26% 24% 23%
Numero di
Numero di errori
Tassi di comunicazioni Numero di operativi che Numero di
Numero di
apertura/ relative a nuovi assunti o hanno utenti
attacchi
click di mail sospette di dipendenti causato coinvolti
cyber
di phishing minacce di non formati in perdita di negli
subiti dall’
simulate sicurezza passato dati o incidenti di
organizzazione
riportate dai rilavorazioni sicurezza
dipendenti di processi
interni
Campione: 154 grandi imprese
Information Security & Privacy 28.11.18 www.osservatori.netGli attori convolti nella definizione del piano di formazione
IT
z
HR
z
Security
z
Altri:
Risk Management
Linee di Business
Operations
Compliance
z
Top
z
Consulenti
z
Associazioni sindacali
o Legal Management esterni Enti di normazione
Campione: 154 grandi imprese
Information Security & Privacy 28.11.18 www.osservatori.netLe iniziative di sensibilizzazione
Formazione
Campagne in aula
di phishing
simulate
Test di
autovalutazione
Corsi
Invio mail online
e
Distribuzione newsletter
materiale
informativo
(voucher,
Comunicazione Altro:
cartellonistica,
contact-point per le Attività di gamification o a premi
ecc.)
segnalazioni Incontri informali
Piattaforme social di confronto
Campione: 154 grandi imprese
Information Security & Privacy 28.11.18 www.osservatori.netLa strategia di gestione del fattore umano
45%
33%
15%
6%
Approccio Approccio
completamente completamente
esterno interno
Coinvolgimento Coinvolgimento Coinvolgimento Fasi di
di figure di figure occasionale di impostazione e
esterne sia in esterne nella figure esterne di svolgimento
fase di fase di delle attività
impostazione impostazione gestite da
che di (svolgimento figure interne
svolgimento gestito
delle attività internamente)
Campione: 154 grandi imprese
Information Security & Privacy 28.11.18 www.osservatori.netLo stato attuale dell’Information Security
in Italia e la gestione del fattore umano
Giorgia Dragoni - giorgia.dragoni@polimi.it
BUL, una leva competitiva per il business: focus sulla cybersecurity
www.osservatori.netPuoi anche leggere
