www.pwc.com/cybersecurity

Come le aziende adottano misure di sicurezza innovative per gestire le minacce ed ottenere vantaggi competitivinell’era digitale.

Principali risultati di “The Global State of Information Security® Survey 2017”

5 Ottobre 2016

Progredire con la Cybersecurity e la Privacy

PwC

Metodologia

Ottobre 2016

2

The “Global State of Information Security® Survey 2017” è uno studio a livello mondiale, condotto online da PwC, in collaborazione con CIO e CSO, dal 4 Aprile 2016 al 3 Giugno2016.

• Quella del 2016 è la 19esima edizione della survey condotta da PwC, la 14esima in cui sonocoinvolti anche CIO e CSO

• Hanno partecipato alla survey lettori di CSO, CIO e clienti di PwC provenienti da 133 paesidifferenti

• Sono state ricevute risposte da più di 10.000 tra CEO, CFO, CIO, CISO, CSO, VP e direttori di dipartimenti IT e Security

• Il 48% dei partecipanti appartiene ad organizzazioni con revenue maggiori di 500Mln$

• Sono state poste più di 40 domande su argomenti relativi alla Privacy e all’InformationSecurity e su come i differenti business possano implementare approcci innovativi in termini di nuove misure di sicurezza

• Il 34% dei partecipanti appartiene alla regione Nord America, il 31% alla regione Europa, il20% alla regione Asia Pacific, il 13% alla regione Sud America e il 3% alle regioni Middle East e Africa

• Il margine di errore stimato sui dati statistici forniti è inferiore al 1%, le percentuali non raggiungono il 100% a causa delle formule di arrotondamento

PwC

La survey ha coinvolto circa 10.000 partecipanti di 133 country

3

Ottobre 2016

34% Nord

America

13% Sud

America

31% Europa

20% Asia Pacific

3% Middle East

& Africa

Partecipanti in base alla regione di appartenenza

PwC

I partecipanti sono rappresentati da un mix di executive provenienti dal mondo dell’IT security e del business

4

Ottobre 2016

24%IT & Security

(Altro)

21%IT & Security

(Mgmt.)

12%Compliance,

Risk, Privacy

20%CISO, CSO,

CIO, CTO

23%CEO, CFO,

COO

Partecipanti per ruolo / titolo

PwC

Organizzazioni coinvolte in base al livello annuale di revenue raggiunte

5

Ottobre 2016

Partecipanti per dimensione delle revenue annuali dell’azienda / organizzazione di appartenenza

36%

Grandi(> $1B US)

Medie($100M - $1B US)

28%27%

Piccole(<$100M US)

3%

Non-profit, Government,Education

6%

Altro

PwC 6

Domanda 7: “Qual è il budget totale della funzione IT della sua organizzazione per il 2016?”

Domanda 8: “Qual è il budget totale della sua organizzazione dedicato all’Information Security?”Ottobre 2016

(*) Il budget di Information Security si riferisce a fondi specificamente ed esplicitamente dedicati alla sicurezza delle informazioni,

compresi costi per hardware, software, servizi, formazione e personale in ambito Information Security.

2012 2013 2014 2015 2016

Dopo consistenti aumenti degli investimenti nel 2015, il budget per l’Information Security è rimasto invariato nel 2016

Gli investimenti per la sicurezza sono rimasti invariati nel 2016, ma gli intervistati di 7 settori industriali su 12 hanno dichiarato di avere avuto a disposizione un budget per la sicurezza maggiore rispetto all’anno precedente

Budget per l’Information Security nel 2016

11%

$2.8milioni

$4.3milioni

$4.1milioni

$5.1milioni

$5.1milioni

o più di incremento degli investimenti

registrato nei settori Financial Service,

Farmaceutico, Healthcare e Automotive

PwC 7

Domanda 10a_2017: “Su quali tipologie di misure di sicurezza la sua organizzazione intende investire nei prossimi 12 mesi?”

Domanda 10_2017: “Quale impatto ha avuto la digitalizzazione dell’ecosistema di business sugli investimenti in sicurezza della sua

organizzazione?” Ottobre 2016

Quest’anno le aziende hanno dato la priorità agliinvestimenti per iniziative strategiche finalizzate a rafforzare i propri ecosistemi digitali

Le priorità relative alla Sicurezza sono relative alla collaborazione interna, alle nuovemisure di sicurezza finalizzate all’evoluzione dei Modelli di Business e all’Internet of Things

59%

Priorità di spesa per l’Information Security nel 2016

Biometria &autenticazione avanzata

Digital enterprisearchitecture

Security per l'Internet of Things

Nuove esigenze disicurezza relative

all'evoluzione dei modellidi business

Maggiore collaborazionetra business, digital e IT

46% 46% 46%43%

51%

degli intervistati sostiene che la digitalizzazione

abbia avuto un impatto sugli investimenti in Information Security

PwC 8

Servizi di business gestiti tramite ambiente cloud

Ottobre 2016

di tutti i servizi IT è erogato

mediante fornitoridi servizi cloud

48%

Aumenta la fiducia nei modelli cloud, pertanto le aziendegestiscono i servizi aziendali più critici tramite ambientecloud

I sistemi IT hanno più probabilità di essere eseguiti in ambienti cloud, ma circa un terzodelle aziende affidano a cloud provider anche i servizi connessi a finanza e operation

Finance Marketing & sales Customer service Operations IT

32%32%

Domanda Q15_2017: “Quali attività di business la sua azienda esegue in ambiente cloud?”

Domanda Q16_2017: “Attualmente, quale percentuale dei servizi IT della sua azienda sono erogati mediante fornitori di servizi cloud?”

34% 34% 36%

63%

PwC 9

Tipologie di MSS utilizzati

Ottobre 2016

62%

Gli intervistati adottano Managed Security Services (MSS) per estendere e migliorare le proprie capacità in termini di Cybersecurity

Threat intelligence Real-time monitoring& analytics

Identity & accessmanagement

Data lossprevention

Authentication

48%

55%

60% 61%64%

Domanda 20_2017: “La sua organizzazione ricorre a Managed Security Services nell’ambito dei programmi di Cybersecurity e Privacy?”

Domanda 20a_2017: “Quali dei seguenti Managed Security Services utilizza la sua organizzazione?”

degli intervistati utilizza MSS per Cybersecurity e

Privacy

Le organizzazioni affermano di affidarsi a MSS per iniziative altamente tecniche, qualiAuthentication, Data Loss Prevention e Identity Management

PwC 10

Impatto dei software open-source

Ottobre 2016

degli intervistatiimpiega software

open - source

53%

Gli intervistati utilizzano software open-source per erogareservizi IT in modo più efficiente e per migliorare la Cybersecurity

Più della metà degli intervistati (53%) impiega software open-source e, tra questi, il 49% afferma di aver migliorato il proprio approccio alla Cybersecurity grazie a tali software

Maggiore facilità nelcustomizzarel'infrastruttura

Maggioreinteroperabilità con le

applicazioni emiddleware esistenti

Migliorata scalabilità Miglioramenti nellaCybersecurity

Maggiore facilità nellosviluppo e

nell'implementazione diprogetti IT

Domanda 21_2017: “La sua organizzazione impiega software open-source al posto di / in aggiunta alle tradizionali infrastrutture software e

middleware?”

Domanda 21a_2017: “Che impatto ha avuto sulla sua organizzazione l’impiego di software open-source?”

41%45%

47%49%

51%

PwC

A causa dell’esplosione dell’Internet of Things, le organizzazioni stanno aggiornando le proprie contromisure di sicurezza in termini di Cybersecurity e Privacy

11

Politiche, tecnologie e competenze implementate relativamente a l’Internet of Things

Le principali iniziative riguardano la data governance, l’interconnessione di dispositivi e sistemi e la formazione dei dipendenti. Anche la privacy dei clienti e dei consumatori è un aspetto prioritario

Ottobre 2016

46%

Standard e politicheuniformi in materia di

Cybersecurity e privacyper dispositivi e sistemi

IoT

Politiche e tecnologiefinalizzate alla

protezione contro leviolazioni della privacy

dei clienti e deiconsumatori

Formazione deidipendenti sulla

sicurezza degli IoT

Valutarel'interconnessione e le

vulnerabilità didispositivi e sisteminell'ecosistema di

business

Nuove politiche inmerito alla raccolta, la

conservazione e lacancellazione di dati

Domanda 25_2017: “Quali politiche, tecnologie e competenze la sua organizzazione intende implementare nei prossimi 12 mesi al fine di

indirizzare i rischi di Cybersecurity e Privacy associati all’Internet of Things (IoT)?”

Domanda10A_2017: “Su quali misure di sicurezza la sua organizzazione intende investire nei prossimi 12 mesi?”

32%34% 35% 35%

37%

degli intevistati sta investendo in una

strategia di sicurezza per l’Internet of Things

PwC 12

Principali iniziative privacy nel 2016

Ottobre 2016

56%

Poichè la protezione dei dati diviene un requisito di business sempre più critico, la formazione dei dipendenti è prioritaria

Le imprese stanno aggiornando le proprie policy e procedure in materia di Privacy e stanno conducendo Privacy Assessment

Domanda 24_2017: “Quale dei seguenti progetti, se del caso, la Funzione Privacy della sua organizzazione indirizzerà nei prossimi 12 mesi?»

Domanda 10a_2016: «Quali misure di sicurezza ha attualmente in essere la sua organizzazione?»

delle imprese richiede ai propri

dipendenti di completare la

formazione sulla Privacy

Big Data, analyticso data

de-identification

Privacyincident response

Privacy assessment Policy e procedureprivacy

Formazione esensibilizzazione sutematiche privacy

31% 32%

36%

38%

30%

PwC 13

Nel 2016, gli intervistati a livello globale hanno rilevatomeno incidenti di information security

Domanda 18: “Qual è il numero di incidenti di sicurezza rilevati negli ultimi 12 mesi?”

Numero medio di incidenti di sicurezza negli ultimi 12 mesi

* Un incidente di sicurezza è definito come qualsiasi incidente avverso che minacci degli aspetti della sicurezza informatica.

Ottobre 2016

3,7414,948

6,853 4,782

Solo in cinque settori industriali gli incidenti sono aumentati rispetto allo scorso anno. Si consideri che le aziende incluse nell’analisi appartengono sia a settori altamenteregolamentati, che investono costantemente nella security e che sono già maturi, sia a settori che stanno lavorando per raggiungere tale livello di maturità

Industrial products Healthcare payers & providers

Financial services Entertainment, media& communications

Telecommunicatons

1,978

4,938

7,6748,536

3,218

+70%incremento

+13%incremento

+2%incremento

+26%incremento

+28%incremento

PwC 14

Con un numero minore di incidenti di sicurezza rilevati, le perdite finanziarie sono diminuite in media del 6%

Diminuzioni nelle perdite finanziarie totali stimate

Are investing in a security strategy

for the Internet of Things

-21%

$2,1 milioni $2,1 milioni $2,2 milioni

$265.333

$265.333

9 settori industriali su 12 hanno registrato diminuzioni delle perdite finanziarie a seguito di incidenti di sicurezza. Di questi, 5 settori hanno registrato una riduzione delle perdite del 20% o più

-21% -23% -28%-49%

-89%

Retail & consumer Technology

Healthcare

payers & providers Industrial products Power & utilities

Diminuzione in media delle perdite

finanziarie tra le grandi aziende

Domanda 22a: “Perdite finanziarie totali stimate come risultato di tutti gli incidenti di sicurezza”

PwC 15

Violazione delle email e ransomware hanno i maggioriimpatti sul business, mentre il phishing è il principale vettoreutilizzato dagli attaccanti

Domanda 22: “In che modo gli incidenti di sicurezza hanno avuto impatto sulla sua organizzazione?”

Domanda 19: “Quali sono le modalità con cui sono avvenuti gli incidenti di sicurezza?”

Impatti sul business degli incidenti di sicurezza

Gli intervistati citano la violazione di e-mail aziendali come la principale fonte degliincidenti, mentre il phishing rappresenta il principale vettore di incidenti di Cybersecurity

Ottobre 2016

Are investing in a security strategy

for the Internet of Things

38%

degli intervistaticita il phishing, rendendolo il

vettore numero 1 degli incidenti

Cyber per il 2016Ransomware

impiantati sui sistemiFurto di proprietàintellettuale "hard"

Perdite finanziarie Furto di proprietàintellettuale "soft"

Email aziendaliviolate

17%

22%23%

26%

23%

PwC

I partner commerciali sono ancora la fonte numero 1 degliincidenti di sicurezza

Domanda 21: “Probabili fonti di incidenti stimate” (non sono mostrati tutti i fattori)

16

Probabili fonti stimate di incidenti

Gli incidenti attribuiti agli addetti ai lavori, compresi soggetti terzi di fiducia e dipendenti, sono diminuiti, mentre quelli attribuiti ad estranei sono leggermente aumentati *

Partner commercialisoggetti terzi

Dipendenti attuali Ex dipendenti Hacker Competitor

2015 2016

Ottobre 2016

44%

34%

21%23%

41%

29%

23%26%

29% 28%

degli incidenti è attribuito a soggettiterzi, quali partner

commerciali

41%

(*) I soggetti terzi di fiducia includono fornitori, partner di affari, fornitori correnti e passati, consulenti e aziende appaltatrici

PwC

For more information, please contact:

Fabio MerelloAssociate Partner, Cybersecurity Leaderfabio.Merello@it.pwc.com

Visit www.pwc.com/gsiss2017 to further explore the data.

The Global State of Information Security® is a registered trademark of International Data Group, Inc.

© 2016 PricewaterhouseCoopers LLP, a Delaware limited liability partnership. All rights reserved. PwC refers to the United States member firm, and may

sometimes refer to the PwC network. Each member firm is a separate legal entity. Please see www.pwc.com/structure for further details. This content is for

general information purposes only, and should not be used as a substitute for consultation with professional advisors.

17