progredire con la cybersecurity e la privacy · sistemi e la formazione dei dipendenti. anche la...
TRANSCRIPT
www.pwc.com/cybersecurity
Come le aziende adottano misure di sicurezza innovative per gestire le minacce ed ottenere vantaggi competitivinell’era digitale.
Principali risultati di “The Global State of Information Security® Survey 2017”
5 Ottobre 2016
Progredire con la Cybersecurity e la Privacy
PwC
Metodologia
Ottobre 2016
2
The “Global State of Information Security® Survey 2017” è uno studio a livello mondiale, condotto online da PwC, in collaborazione con CIO e CSO, dal 4 Aprile 2016 al 3 Giugno2016.
• Quella del 2016 è la 19esima edizione della survey condotta da PwC, la 14esima in cui sonocoinvolti anche CIO e CSO
• Hanno partecipato alla survey lettori di CSO, CIO e clienti di PwC provenienti da 133 paesidifferenti
• Sono state ricevute risposte da più di 10.000 tra CEO, CFO, CIO, CISO, CSO, VP e direttori di dipartimenti IT e Security
• Il 48% dei partecipanti appartiene ad organizzazioni con revenue maggiori di 500Mln$
• Sono state poste più di 40 domande su argomenti relativi alla Privacy e all’InformationSecurity e su come i differenti business possano implementare approcci innovativi in termini di nuove misure di sicurezza
• Il 34% dei partecipanti appartiene alla regione Nord America, il 31% alla regione Europa, il20% alla regione Asia Pacific, il 13% alla regione Sud America e il 3% alle regioni Middle East e Africa
• Il margine di errore stimato sui dati statistici forniti è inferiore al 1%, le percentuali non raggiungono il 100% a causa delle formule di arrotondamento
PwC
La survey ha coinvolto circa 10.000 partecipanti di 133 country
3
Ottobre 2016
34% Nord
America
13% Sud
America
31% Europa
20% Asia Pacific
3% Middle East
& Africa
Partecipanti in base alla regione di appartenenza
PwC
I partecipanti sono rappresentati da un mix di executive provenienti dal mondo dell’IT security e del business
4
Ottobre 2016
24%IT & Security
(Altro)
21%IT & Security
(Mgmt.)
12%Compliance,
Risk, Privacy
20%CISO, CSO,
CIO, CTO
23%CEO, CFO,
COO
Partecipanti per ruolo / titolo
PwC
Organizzazioni coinvolte in base al livello annuale di revenue raggiunte
5
Ottobre 2016
Partecipanti per dimensione delle revenue annuali dell’azienda / organizzazione di appartenenza
36%
Grandi(> $1B US)
Medie($100M - $1B US)
28%27%
Piccole(<$100M US)
3%
Non-profit, Government,Education
6%
Altro
PwC 6
Domanda 7: “Qual è il budget totale della funzione IT della sua organizzazione per il 2016?”
Domanda 8: “Qual è il budget totale della sua organizzazione dedicato all’Information Security?”Ottobre 2016
(*) Il budget di Information Security si riferisce a fondi specificamente ed esplicitamente dedicati alla sicurezza delle informazioni,
compresi costi per hardware, software, servizi, formazione e personale in ambito Information Security.
2012 2013 2014 2015 2016
Dopo consistenti aumenti degli investimenti nel 2015, il budget per l’Information Security è rimasto invariato nel 2016
Gli investimenti per la sicurezza sono rimasti invariati nel 2016, ma gli intervistati di 7 settori industriali su 12 hanno dichiarato di avere avuto a disposizione un budget per la sicurezza maggiore rispetto all’anno precedente
Budget per l’Information Security nel 2016
11%
$2.8milioni
$4.3milioni
$4.1milioni
$5.1milioni
$5.1milioni
o più di incremento degli investimenti
registrato nei settori Financial Service,
Farmaceutico, Healthcare e Automotive
PwC 7
Domanda 10a_2017: “Su quali tipologie di misure di sicurezza la sua organizzazione intende investire nei prossimi 12 mesi?”
Domanda 10_2017: “Quale impatto ha avuto la digitalizzazione dell’ecosistema di business sugli investimenti in sicurezza della sua
organizzazione?” Ottobre 2016
Quest’anno le aziende hanno dato la priorità agliinvestimenti per iniziative strategiche finalizzate a rafforzare i propri ecosistemi digitali
Le priorità relative alla Sicurezza sono relative alla collaborazione interna, alle nuovemisure di sicurezza finalizzate all’evoluzione dei Modelli di Business e all’Internet of Things
59%
Priorità di spesa per l’Information Security nel 2016
Biometria &autenticazione avanzata
Digital enterprisearchitecture
Security per l'Internet of Things
Nuove esigenze disicurezza relative
all'evoluzione dei modellidi business
Maggiore collaborazionetra business, digital e IT
46% 46% 46%43%
51%
degli intervistati sostiene che la digitalizzazione
abbia avuto un impatto sugli investimenti in Information Security
PwC 8
Servizi di business gestiti tramite ambiente cloud
Ottobre 2016
di tutti i servizi IT è erogato
mediante fornitoridi servizi cloud
48%
Aumenta la fiducia nei modelli cloud, pertanto le aziendegestiscono i servizi aziendali più critici tramite ambientecloud
I sistemi IT hanno più probabilità di essere eseguiti in ambienti cloud, ma circa un terzodelle aziende affidano a cloud provider anche i servizi connessi a finanza e operation
Finance Marketing & sales Customer service Operations IT
32%32%
Domanda Q15_2017: “Quali attività di business la sua azienda esegue in ambiente cloud?”
Domanda Q16_2017: “Attualmente, quale percentuale dei servizi IT della sua azienda sono erogati mediante fornitori di servizi cloud?”
34% 34% 36%
63%
PwC 9
Tipologie di MSS utilizzati
Ottobre 2016
62%
Gli intervistati adottano Managed Security Services (MSS) per estendere e migliorare le proprie capacità in termini di Cybersecurity
Threat intelligence Real-time monitoring& analytics
Identity & accessmanagement
Data lossprevention
Authentication
48%
55%
60% 61%64%
Domanda 20_2017: “La sua organizzazione ricorre a Managed Security Services nell’ambito dei programmi di Cybersecurity e Privacy?”
Domanda 20a_2017: “Quali dei seguenti Managed Security Services utilizza la sua organizzazione?”
degli intervistati utilizza MSS per Cybersecurity e
Privacy
Le organizzazioni affermano di affidarsi a MSS per iniziative altamente tecniche, qualiAuthentication, Data Loss Prevention e Identity Management
PwC 10
Impatto dei software open-source
Ottobre 2016
degli intervistatiimpiega software
open - source
53%
Gli intervistati utilizzano software open-source per erogareservizi IT in modo più efficiente e per migliorare la Cybersecurity
Più della metà degli intervistati (53%) impiega software open-source e, tra questi, il 49% afferma di aver migliorato il proprio approccio alla Cybersecurity grazie a tali software
Maggiore facilità nelcustomizzarel'infrastruttura
Maggioreinteroperabilità con le
applicazioni emiddleware esistenti
Migliorata scalabilità Miglioramenti nellaCybersecurity
Maggiore facilità nellosviluppo e
nell'implementazione diprogetti IT
Domanda 21_2017: “La sua organizzazione impiega software open-source al posto di / in aggiunta alle tradizionali infrastrutture software e
middleware?”
Domanda 21a_2017: “Che impatto ha avuto sulla sua organizzazione l’impiego di software open-source?”
41%45%
47%49%
51%
PwC
A causa dell’esplosione dell’Internet of Things, le organizzazioni stanno aggiornando le proprie contromisure di sicurezza in termini di Cybersecurity e Privacy
11
Politiche, tecnologie e competenze implementate relativamente a l’Internet of Things
Le principali iniziative riguardano la data governance, l’interconnessione di dispositivi e sistemi e la formazione dei dipendenti. Anche la privacy dei clienti e dei consumatori è un aspetto prioritario
Ottobre 2016
46%
Standard e politicheuniformi in materia di
Cybersecurity e privacyper dispositivi e sistemi
IoT
Politiche e tecnologiefinalizzate alla
protezione contro leviolazioni della privacy
dei clienti e deiconsumatori
Formazione deidipendenti sulla
sicurezza degli IoT
Valutarel'interconnessione e le
vulnerabilità didispositivi e sisteminell'ecosistema di
business
Nuove politiche inmerito alla raccolta, la
conservazione e lacancellazione di dati
Domanda 25_2017: “Quali politiche, tecnologie e competenze la sua organizzazione intende implementare nei prossimi 12 mesi al fine di
indirizzare i rischi di Cybersecurity e Privacy associati all’Internet of Things (IoT)?”
Domanda10A_2017: “Su quali misure di sicurezza la sua organizzazione intende investire nei prossimi 12 mesi?”
32%34% 35% 35%
37%
degli intevistati sta investendo in una
strategia di sicurezza per l’Internet of Things
PwC 12
Principali iniziative privacy nel 2016
Ottobre 2016
56%
Poichè la protezione dei dati diviene un requisito di business sempre più critico, la formazione dei dipendenti è prioritaria
Le imprese stanno aggiornando le proprie policy e procedure in materia di Privacy e stanno conducendo Privacy Assessment
Domanda 24_2017: “Quale dei seguenti progetti, se del caso, la Funzione Privacy della sua organizzazione indirizzerà nei prossimi 12 mesi?»
Domanda 10a_2016: «Quali misure di sicurezza ha attualmente in essere la sua organizzazione?»
delle imprese richiede ai propri
dipendenti di completare la
formazione sulla Privacy
Big Data, analyticso data
de-identification
Privacyincident response
Privacy assessment Policy e procedureprivacy
Formazione esensibilizzazione sutematiche privacy
31% 32%
36%
38%
30%
PwC 13
Nel 2016, gli intervistati a livello globale hanno rilevatomeno incidenti di information security
Domanda 18: “Qual è il numero di incidenti di sicurezza rilevati negli ultimi 12 mesi?”
Numero medio di incidenti di sicurezza negli ultimi 12 mesi
* Un incidente di sicurezza è definito come qualsiasi incidente avverso che minacci degli aspetti della sicurezza informatica.
Ottobre 2016
3,7414,948
6,853 4,782
Solo in cinque settori industriali gli incidenti sono aumentati rispetto allo scorso anno. Si consideri che le aziende incluse nell’analisi appartengono sia a settori altamenteregolamentati, che investono costantemente nella security e che sono già maturi, sia a settori che stanno lavorando per raggiungere tale livello di maturità
Industrial products Healthcare payers & providers
Financial services Entertainment, media& communications
Telecommunicatons
1,978
4,938
7,6748,536
3,218
+70%incremento
+13%incremento
+2%incremento
+26%incremento
+28%incremento
PwC 14
Con un numero minore di incidenti di sicurezza rilevati, le perdite finanziarie sono diminuite in media del 6%
Diminuzioni nelle perdite finanziarie totali stimate
Are investing in a security strategy
for the Internet of Things
-21%
$2,1 milioni $2,1 milioni $2,2 milioni
$265.333
$265.333
9 settori industriali su 12 hanno registrato diminuzioni delle perdite finanziarie a seguito di incidenti di sicurezza. Di questi, 5 settori hanno registrato una riduzione delle perdite del 20% o più
-21% -23% -28%-49%
-89%
Retail & consumer Technology
Healthcare
payers & providers Industrial products Power & utilities
Diminuzione in media delle perdite
finanziarie tra le grandi aziende
Domanda 22a: “Perdite finanziarie totali stimate come risultato di tutti gli incidenti di sicurezza”
PwC 15
Violazione delle email e ransomware hanno i maggioriimpatti sul business, mentre il phishing è il principale vettoreutilizzato dagli attaccanti
Domanda 22: “In che modo gli incidenti di sicurezza hanno avuto impatto sulla sua organizzazione?”
Domanda 19: “Quali sono le modalità con cui sono avvenuti gli incidenti di sicurezza?”
Impatti sul business degli incidenti di sicurezza
Gli intervistati citano la violazione di e-mail aziendali come la principale fonte degliincidenti, mentre il phishing rappresenta il principale vettore di incidenti di Cybersecurity
Ottobre 2016
Are investing in a security strategy
for the Internet of Things
38%
degli intervistaticita il phishing, rendendolo il
vettore numero 1 degli incidenti
Cyber per il 2016Ransomware
impiantati sui sistemiFurto di proprietàintellettuale "hard"
Perdite finanziarie Furto di proprietàintellettuale "soft"
Email aziendaliviolate
17%
22%23%
26%
23%
PwC
I partner commerciali sono ancora la fonte numero 1 degliincidenti di sicurezza
Domanda 21: “Probabili fonti di incidenti stimate” (non sono mostrati tutti i fattori)
16
Probabili fonti stimate di incidenti
Gli incidenti attribuiti agli addetti ai lavori, compresi soggetti terzi di fiducia e dipendenti, sono diminuiti, mentre quelli attribuiti ad estranei sono leggermente aumentati *
Partner commercialisoggetti terzi
Dipendenti attuali Ex dipendenti Hacker Competitor
2015 2016
Ottobre 2016
44%
34%
21%23%
41%
29%
23%26%
29% 28%
degli incidenti è attribuito a soggettiterzi, quali partner
commerciali
41%
(*) I soggetti terzi di fiducia includono fornitori, partner di affari, fornitori correnti e passati, consulenti e aziende appaltatrici
PwC
For more information, please contact:
Fabio MerelloAssociate Partner, Cybersecurity [email protected]
Visit www.pwc.com/gsiss2017 to further explore the data.
The Global State of Information Security® is a registered trademark of International Data Group, Inc.
© 2016 PricewaterhouseCoopers LLP, a Delaware limited liability partnership. All rights reserved. PwC refers to the United States member firm, and may
sometimes refer to the PwC network. Each member firm is a separate legal entity. Please see www.pwc.com/structure for further details. This content is for
general information purposes only, and should not be used as a substitute for consultation with professional advisors.
17