Winter is coming: adapt to react! Osservatorio Information Security & Privacy 05.02.19 #OISP19

Winter is coming: adapt to react! Il contesto di riferimento e il mercato Osservatorio Information Security & Privacy 05.02.19 #OISP19

Le notizie più rilevanti Marzo 2018 Settembre 2018 Gennaio 2019 Marzo 2018 Aprile 2018 Novembre 2018 Gennaio 2019

L’evoluzione del contesto di riferimento Reti ad alte prestazioni (5G) Internet of Things Attacchi Supply Chain Artificial Intelligence Industria 4.0 Criptovalute Sensibilità in merito alla privacy

La scomposizione per dimensione Il campione – Ricerca 2018 La scomposizione per dimensione Grandi imprese (da 250 addetti) 667 aziende coinvolte Medie imprese (50-249 addetti) Piccole imprese (10-49 addetti)

Il campione – Grandi imprese La scomposizione per settore Manufacturing Utility ed Energy 166 grandi imprese coinvolte Retail e GDO Assicurazioni Banche PA e Sanità Servizi Telco e Media

Le principali finalità e i principali target di attacco informatico 90% Smart Home & Building Infrastrutture critiche Veicoli connessi Influenza e manipolazione dell’opinione pubblica Finalità alla base di attacchi informatici Device mobili Truffa Intrusione/ spionaggio Scenario futuro Account social Ambienti Public Cloud Estorsione Acquisizione del controllo di sistemi Sistemi industriali Account email Target di attacco informatico Portali eCommerce Interruzione di servizio Ideologia Siti web aziendali Scenario attuale 90% Campione: 166 grandi imprese

Il mercato information security 2018 1190 mln € 2017 1090 mln € 2016 976 mln € +9 % 2018 Campione: 667 organizzazioni italiane

La scomposizione del mercato information security GDPR & Compliance Alta Network Security BC & DR Endpoint Security Penetration test Application Security Vulnerability Assessment Governance Email Security Identity & Access Management SIEM Incidenza sul budget Security Awareness & Training Web Security Data Loss Prevention Intrusion Detection Cyber Insurance Mobile Security Messaging Security Transaction Security Fraud Detection Threat Intelligence Industrial Security Cloud security Bassa Secure Document Mgmt Social Media Security AI & ML Blockchain IoT Security Bassa Alta Percentuale aziende che dichiara una crescita del budget Campione: 166 grandi imprese

Le criticità per gli oggetti connessi Internet of Things Industrial Security Mancanza di una logica di security by design 73% Mancanza di consapevolezza da parte delle Operations 56% Scarsa consapevolezza da parte degli utenti 58% Interconnessione tra impianti industriali e infrastruttura IT 55% Assenza di standard tecnologici e di sicurezza 53% Obsolescenza degli impianti industriali 40% Campione: 166 grandi imprese

Le soluzioni di Artificial Intelligence 17% Utilizzate per prevenire minacce di sicurezza Utilizzate per intercettare possibili frodi 8% 15% Utilizzate per ottimizzare la gestione di incidenti di sicurezza 36% Non ancora utilizzate ma previste in futuro Campione: 166 grandi imprese

Winter is coming: adapt to react! Il percorso di adeguamento al GDPR Osservatorio Information Security & Privacy 05.02.19 #OISP19

GDPR: il percorso di adeguamento 2018 2016 2017 È in corso un’analisi dei requisiti richiesti e dei piani di attuazione possibili I progetti di adeguamento al GDPR sono stati completati Le implicazioni sono note nelle funzioni specialistiche ma il tema non è all’attenzione del vertice È in corso un progetto strutturato di adeguamento alla normativa Le implicazioni del GDPR non sono note in dettaglio Campione: 166 grandi imprese

GDPR: il budget dedicato Adeguamento Mantenimento della compliance Risposta Presente Prossimi 12 mesi Non previsto Campione: 166 grandi imprese

GDPR: le criticità riscontrate Difficoltà nella raccolta e nella mappatura dei dati Mancanza di sensibilizzazione sul tema da parte dei dipendenti aziendali Scarsa sponsorizzazione da parte del Top Management Difficoltà di comprensione della normativa Mancanza di figure professionali competenti sul tema Mancanza di budget o budget stanziato non sufficiente Soluzioni tecnologiche di protezione e iniziative organizzative inadeguate Campione: 166 grandi imprese

Il Data Protection Officer - DPO 2017 +50 % 2018 Figura formalizzata interna all’azienda Figura non formalizzata interna all’azienda Responsabilità delegata a una figura esterna In introduzione nei prossimi 12 mesi Non esiste e non se ne prevede l’introduzione Campione: 166 grandi imprese

GDPR: considerazioni finali Aumento sensibilità del Top Management 63% Almeno una DPIA posta in essere Corsi di formazione sul tema protezione dati 56% 52% Logica di security e privacy by design Investimenti in tecnologie 47% Inserimento in organico di nuove figure professionali 34% 50% Rallentamento dei processi e delle attività quotidiane 8% Si sono registrate criticità organizzative Sono stati sostenuti costi ingenti per le attività consulenziali 26% 16% Campione: 166 grandi imprese

Winter is coming: adapt to react! La gestione del fattore umano Osservatorio Information Security & Privacy 05.02.19 #OISP19

I piani di formazione sulla security Principali ostacoli all’introduzione di un piano di formazione Piano di formazione pluriennale Piano di formazione annuale Scarsa sponsorizzazione da parte del Top Management 52% Mancanza di budget da dedicare a iniziative di formazione Nessun piano di formazione 24% Campione: 166 grandi imprese

Gli obiettivi dei piani di formazione 60% Evitare i costi e il danno reputazionale di un potenziale incidente di sicurezza 68% 68% Ridurre il numero di incidenti di sicurezza derivanti da errore umano Essere pienamente compliant ai requisiti imposti dal GDPR 82% 42% Sensibilizzare tutti i dipendenti sui temi della security e della privacy Accompagnare l’introduzione o l’aggiornamento di policy aziendali Campione: 166 grandi imprese

Le iniziative di sensibilizzazione Formazione in aula Campagne di phishing simulate Test di autovalutazione Corsi online Invio mail e newsletter Distribuzione materiale informativo (voucher, cartellonistica, ecc.) Diffusione Comunicazione contact-point per le segnalazioni Altro: Attività di gamification o a premi Incontri informali Piattaforme social di confronto Campione: 166 grandi imprese

La strategia di gestione del fattore umano 45% 33% 15% 6% Approccio completamente esterno Approccio completamente interno Coinvolgimento di figure esterne sia in fase di impostazione che di svolgimento delle attività Coinvolgimento di figure esterne nella fase di impostazione (svolgimento gestito internamente) Coinvolgimento occasionale di figure esterne Fasi di impostazione e di svolgimento delle attività gestite da figure interne Campione: 166 grandi imprese

Winter is coming: adapt to react! La gestione e il trasferimento del rischio cyber Osservatorio Information Security & Privacy 05.02.19 #OISP19

La valutazione del rischio cyber Attività di penetration test e vulnerability assessment Assessment su tecnologie e dipendenti Ricorso a società di audit o consulenza esterne z 77% z 46% z 41% 43% 21% Assessment basato su standard internazionali Attività periodiche di assessment dei fornitori Assessment basato su framework sviluppato internamente z 39% z 27% z 27% Campione: 166 grandi imprese

Le polizze per trasferire il rischio cyber Nessuna conoscenza Polizze per trasferire il rischio cyber +5% Nessuna polizza per trasferire il rischio cyber Nel 2018, il 33% ha già stipulato polizze assicurative per trasferire il rischio cyber (18%) o che lo coprono parzialmente (15%) Polizze che coprono in parte il rischio cyber In valutazione Polizze cyber - Messaggio positivo di crescita Campione: 166 grandi imprese

Le polizze per trasferire il rischio cyber 2018 2017 +6% 2016 +12% Polizze cyber - Messaggio positivo di crescita Campione: 166 grandi imprese

Gli ostacoli allo sviluppo del mercato assicurativo 64% Difficoltà nella misurazione degli impatti finanziari 58% Incapacità delle aziende clienti di valutare l’esposizione ai rischi cyber Scarso coinvolgimento del Top Management 30% 19% Scarsa predisposizione a sostenere un assessment del rischio cyber 19% Mancanza di trasparenza circa la definizione dei danni coperti 19% Scarsa competenza tecnica di assicuratori/broker Campione: 166 grandi imprese

Winter is coming: adapt to react! L’analisi delle PMI Osservatorio Information Security & Privacy 05.02.19 #OISP19

Lo stato delle PMI 8% 18% 52% 22% Low-Budget Mature Inconsapevoli Maturità degli strumenti adottati 8% 18% Low-Budget Mature Inconsapevoli Tech-savvy 52% 22% Maturità organizzativa Dati ottenuti da un’elaborazione statistica di un campione di 501 piccole e medie imprese (addetti compresi tra 10 e 249)

Winter is coming: adapt to react! L’ecosistema delle startup Osservatorio Information Security & Privacy 05.02.19 #OISP19

I finanziamenti ricevuti dalle startup 417 4,75 miliardi di $* dal 2013 a febbraio 2018 13,3 milioni di $ a startup Nord America Europa Asia Altri continenti 3,4 mld di $ 693 mln di $ 554 mln di $ 25 mln di $ Per 357 delle startup analizzate è stato possibile reperire l’informazione sull’ammontare dei finanziamenti ricevuti, che complessivamente hanno raggiunto una quota di circa 4,75 miliardi di dollari, con un valore medio per startup pari a 13,3 milioni di dollari. Occorre però specificare come il 75% delle realtà analizzate abbia ricevuto una cifra minore rispetto alla media: la mediana del campione si attesta infatti sui 4 milioni di dollari, a testimonianza di come esista un elevato numero di startup con una quota di finanziamento molto più contenuta. *Campione: 357 startup di cui è stato possibile reperire il dato sul finanziamento

Winter is coming: adapt to react! Osservatorio Information Security & Privacy 05.02.19 #OISP19