Cyber Security Summit

Roma 5 Aprile

Ezio Viola

Ammistratore Delegato , The Innovation Group

Trasformazione digitale, Cyber Risk Management: spunti da survey su aziende italiane

LA TRASFORMAZIONE DIGITALE DELLE IMPRESE

2

Digital Foundation: “Capabilities” e Infrastrutture

Customer Touchpoint

Customer

Analysis

Customer Experience

Performance management

Smart Workplace

Digitalizzazione & Workflow

Product Platform

Nuovi Servizi Digitali

Arricchire Prodotti e

Servizi

Customer Relation

Processi Operativi

Business Model

Ve

ntu

re P

ort

folio

Digital A

ttacker

3

3%

3%

6%

9%

16%

19%

19%

22%

28%

9%

9%

22%

16%

6%

13%

22%

9%

9%

44%

44%

0% 20% 40% 60% 80%

Stampa in 3D

Wearable Tech

Internet of Things (IoT, M2M)

Cognitive Computing, AI

Realtà aumentata, realtà virtuale

Cloud Computing (IaaS, PaaS)

Cloud Computing (SaaS)

Enterprise AppStore, MDM, MAM

Innovazione sviluppo software

Big Data Technologies

Multichannel Customer Engagement

In quali dei seguenti ambiti innovativi avete avuto progetti nel 2016 / ne avrete a partire dal 2017?

Progetti di Innovazione Digitale secondo i Business Manager: Multichannel CX e Big Data ai primi posti

Fonte: Digital Business Transformation Survey, TIG, gennaio 2017. N = 44 rispondenti LoB Manager

4

13%

5%

13%

15%

36%

59%

Nessuno, non abbiamo unastrategia di questo tipo

LoB Manager (altra funzionedel Business)

CDO (Chief Digital Officer) oaltro ruolo dedicato

CMO (funzione Marketing)

CIO/CTO (funzione ICT)

CEO/COO/Board (altadirezione)

Chi è responsabile della strategia di Digital Business Transformation?

Chi guida / chi è coinvolto nella strategia di Digital Transformation

5%

5%

9%

12%

12%

14%

15%

20%

24%

25%

32%

58%

68%

Audit, Compliance

Risk Manager

Chief Data Officer

CSO/CISO/Security Manager

Chief Innovation Officer

Direttore Progettazione, R&D

Responsabile CRM, Customer Service

Chief Digital Officer

CMO/Digital Marketing Manager

Responsabile Risorse Umane, Organizzazione

CTO / Chief Technology Officer

CIO/Direttore Sistemi Informativi/IT Manager

Board (AD, Presidente, Direttore Generale,…

Chi sono i Manager coinvolti nella sua azienda in iniziative di Digital Transformation?

Figure poco presenti o coinvolgimento troppo basso

Fonte: Digital Business Transformation Survey, TIG, gennaio 2017. N = 136 rispondenti LoB Manager + ICT Manager

5%

18%

21%

26%

30%

32%

33%

35%

39%

44%

62%

Outsourcing / Vendor management

Technical architecture / Enterprise architecture

API design / management

Internet of Things

IT Service management / IT Governance

Social media / Digital marketing

Cloud computing

Compliance (es. privacy)

Mobile solutions

Security / resilience

Big data / Business analytics

In quali ambiti andrete a rafforzare le competenze tecnologiche interne nel 2017?

… ma per innovare mancano competenze tecnologiche in più ambiti, e soprattutto servono per la security

Fonte: Digital Business Transformation Survey, TIG, marzo 2017. N = 92 rispondenti ICT Manager

CYBER RISK MANAGEMENT SURVEY 2.0 CYBERSECURITY & RISK MANAGEMENT LEADERSHIP PROGRAM 2016

7

29%

31%

35%

38%

44%

44%

78%

0% 20% 40% 60% 80%

Chief Security Officer (CSO)

Chief Compliance Officer (CCO)

Chief Privacy Officer (CPO)

Chief Information Security Officer (CISO)

Chief Risk Officer (CRO)

Chief Technology Officer (CTO)

Chief Information Officer (CIO)

Nella vostra azienda sono definiti i seguenti ruoli esecutivi?

Presenza di Responsabili dedicati alla Security (CISO) 1. Struttura Organizzativa Cyber Security & Risk Management

Si conferma che la presenza del CISO continua ad essere limitata a una minoranza di aziende

Fonte: Cyber Risk Management Survey , gennaio 2017. N = 72 aziende italiane con oltre 50 addetti

8

30%

30%

30%

32%

33%

33%

37%

37%

37%

40%

40%

40%

42%

49%

61%

Data Protection (DLP, Database security)

Risk Management / Audit

IAM, Directory Services, User Provisioning, Privilege Management

Conformità alle normative in ambito Information Security (e.g.,…

Garantire i requisiti di Sicurezza Nazionale / Compliance di…

Mobile security/MDM/MAM

Aggiornamento delle patch di sicurezza…

Information Security Policies

Web & Application Security (Secure Coding, Code Review,…

Information security governance (ad esempio ruoli, strutture di…

Sviluppo/emissione di policy e procedure in ambito Cyber…

Backup&Recovery/Business continuity

Network Security, Web Filtering, VPN, IDS, IPS, Firewall

Information security training and awareness

Vulnerability assessment/ penetration tests periodici o audit di…

Cyber Security: le principali iniziative nel 2016

2%

5%

9%

14%

21%

31%

35%

38%

43%

50%

57%

57%

Altro (Mancanza di una governance globale IT ed ICS)

Gestione di Advanced Persistent Threat

Inadeguate garanzie di sicurezza da parte delle terze parti /…

Complessità del panorama giuridico e normativo internazionale (ad…

Mancanza di tempo

Mancanza di competenze

Mancanza di visibilità ed influenza all’interno dell’organizzazione

Complessità dell’ambiente organizzativo e tecnico

Minacce sempre più sofisticate e tecnologie emergenti

Mancanza di chiarezza su mandato, ruoli e responsabilità

Mancanza di supporto da parte della dirigenza e/o del business

Mancanza di sufficiente budget e/o risorse

I principali ostacoli alla cybersecurity

9

Molte delle barriere sono correlate a un eccessivo “isolamento” della funzione ICT security

Le principali barriere incontrate per affrontare le sfide cyber sono: la mancanza di fondi sufficienti e di supporto dal Board, la mancanza di chiarezza, la crescente sofisticazione delle minacce

Rispetto a quanto indicato nel 2015, si conferma al primo posto la mancanza di budget e risorse per affrontare questa problematica. Inoltre ora cresce l’importanza del supporto del Board, che si vuole sempre più coinvolto su questi temi.

2. Cyber Security Program Strategy

2% 9%

2% 4%

2% 2%

5% 7% 7% 7%

11% 21%

52% 54%

70%

Non applicabile/Non so

Non si sono verificate violazioni

Hacktivism

Altre forme di security breach

Data breach provenienti da un attacco fisico/furto

Wireless network breach

Data breach provenienti da dispositivi mobili

Frodi finanziarie che coinvolgono i sistemi informatici

Data breach provenienti da un attacco di Hacker

Data breach provenienti da applicazioni web

Zero-day attacks

Social engineering

Codice dannoso (ad es. Virus/worm/spyware)

Phishing & Pharming

Crypto-ransomware

Nel corso degli ultimi 12 mesi quali dei seguenti incidenti cyber si sono verificati ?

10

Crypto ransomware al primo posto – nel 70% delle aziende intervistate

Gli incidenti cyber si sono verificati in generale nel 91% delle aziende – solo un 9% non li ha rilevati

Rispetto a quanto misurato nel 2015 (solo il 40% degli intervistati dichiarava di aver subito incidenti cyber – oggi il 91%!) c’è una maggiore consapevolezza della frequenza di questi incidenti, anche se in gran parte sono riconducibili a 3 categorie di attacco: crypto-ransomware, che si è diffuso moltissimo nell’ultimo anno, phishing e presenza di malware.

4. Efficacia del programma di Cyber Security

11

Data Protection (GDPR): la maggior parte delle aziende sta ancora analizzando i requisiti della norma

Sono in corso le attività di

adeguamento alle nuove disposizioni

22%

Sono in corso le attività di analisi delle nuove disposizioni al fine di

raccogliere le informazioni necessarie

per la pianificazione delle attività di adeguamento

necessarie 47%

Non sono ancora state avviate attività

in tale ambito 21%

Non sono ancora state avviate attività

in tale ambito in quanto non eravamo a

conoscenza del regolamento

introdotto 7%

Non so 3%

In virtù del nuovo Regolamento europeo sulla Data Protection (GDPR), la vostra azienda ha rivisto/prevede di rivedere le modalità interne di

gestione dei dati personali?

3. GDPR: Awareness, Principali Impatti Organizzativi/Procedurali

Incident Management: attività svolte in caso di Crisi

26%

16%

24%

27%

38%

40%

47%

55%

Nessuna delle precedenti

Analisi forense

Media relation e comunicati stampa

Test periodico delle procedure di IR e Crisis Mngt

Comunicazione immediata verso i diretti interessati

Comunicazione con le autorità

Reportistica sugli incidenti

Analisi degli incidenti con comprensione della fonte

Quali delle seguenti attività di Incident & Crisis Management sono eseguite/gestite dalla vostra azienda?

6. Cyber Intelligence, Incident Response & Crisis Management

Incident Management: elementi fondamentali per il successo dell’Incident Response

29%

42%

44%

52%

65%

85%

Allinearsi costantemente con CERT di categoria/CERT governativicondividendo informazioni e intelligence

Avere la capacità di far evolvere continuamente il piano di Incident Response apprendendo dall’esperienza

Dotarsi di un SOC interno o esternalizzato che monitori costantemente l’infrastruttura

Avere un team molto esperto di Incident Response, composto siada esperti interni sia da esterni

L’adozione di opportune tecnologie per il monitoraggio e la correlazione degli eventi (ad esempio SIEM)

Aver definito una policy/procedura di Incident Response

Quali dei seguenti elementi sono secondo Lei fondamentali per il successo del piano di Incident Response?

6. Cyber Intelligence, Incident Response & Crisis Management

14

Anche nel 2016 lo skill shortage è il principale problema attuativo per un efficace Cyber Risk management e Cyber Security management

Permane anche nel 2016 il problema dello Skill Shortage. Il 64% degli intervistati ha identificato una carenza di competenze per i dipendenti che si occupano di sicurezza informatica. In molti casi si sta provvedendo a colmare tali gap con diverse modalità (programmi di formazione, outsourcing e contratti di consulenza).

7. Training & Awareness

Lo Staff ha le competenze

richieste 29%

Il nostro staff non ha le competenze richieste ma si sta

provvedendo a colmare le lacune

tramite un programma di

formazione 22%

Il nostro staff non ha le competenze richieste ma si sta

provvedendo mediante

l'aumento del personale

(coinvolgendo consulenti e

collaboratori) 4%

Il nostro staff non ha le competenze richieste ma si sta

provvedendo a colmare le lacune

dando in outsourcing le aree

interessate 16%

Lo Staff ha grandi lacune nelle competenze

18%

Non applicabile/Non lo

so 7%

Gli esperti di sicurezza informatica, gli sviluppatori e gli amministratori di sistema della vostra azienda hanno le competenze necessarie (conoscenze,

abilità e attitudini) per far fronte ai requisiti attuali e futuri?

Security Awareness: crescita per tutte le attività rivolte agli utenti finali

0%

20%

40%

60%

2015 2016

Quali dei seguenti metodi/strumenti avete utilizzato nel 2015/ utilizzerete nel 2016 per i programmi di security awareness?

Video/storytelling/comics

Simulazioni di attacchi cyber

Utilizzo di software ditraining/eLearning

Sessione di formazione in classe

Comunicazioni/mail/post inambienti social interni

7. Training & Awareness

IL MERCATO DELLA SICUREZZA IN ITALIA

1,4%

2,7% 3,1%

1,5%

2,7% 2,7%

3,6%

5,0%

6,6%

2,5%

3,8%

4,6%

0,0%

1,0%

2,0%

3,0%

4,0%

5,0%

6,0%

7,0%

14/13 15/14 16/15

Il mercato della sicurezza in Italia (% y-o-y)

Sicurezza - HW Sicurezza SW

Sicurezza - Servizi Sicurezza - Totale

16

20%

18%

16% 10%

10%

8%

7%

3% 3%

5%

Prodotti e servizi di ICT Security – Italia (2016, %)

BC/ DR

Proessional Security Service

Network Security

Managed Security Services

Endpoint Protection Platform

Identity & Access Management

Web/ Email SecurityAppliances

SIEM

Data Security/ Data LossPrevention

Fonte: TIG