Il Global Threat Intelligence Report 2019 di NTT Security ha cercato di esaminare il livello di preparazione che le aziende hanno raggiunto in campo cyber security. La premessa è che per molto tempo le imprese hanno affrontato la sicurezza con un approccio mirato. Data una minaccia, cioè, si andava alla ricerca del prodotto che poteva contenerla.

Questo modello è diventato via via insufficiente. L'evoluzione delle minacce in rete e dei metodi della criminalità informatica ha infatti dimostrato che non è più praticabile. Parallelamente, normative come il GDPR hanno spostato la cyber security verso un approccio più trasversale di gestione del rischio. Il punto non è più evitare di essere attaccati, perché questo è impossibile, ma mettere in atto misure che riducano al minimo i danni che un attacco può portare.

Il campione di aziende esaminato da NTT dà un segnale positivo importante. La sicurezza IT è diventata un argomento da Consiglio di Amministrazione e non più solo da tecnici. Si è capito che una falla nella sicurezza non è un problema IT ma anche di immagine ed economico per tutta l'azienda. Una maggiore consapevolezza spinta dalle normative, ma che sarebbe nata comunque.


È una maggiore consapevolezza che però non vuol dire più preparazione. L'indice di "cyberpreparedness" definito da NTT è in generale basso: 1,45 su 5. Va meglio, ma non molto, per settori come Finance (1,71), Tecnologia (1,66), PA (1,52) e Manufacturing (1,45). Settori cioè in cui gli attacchi informatici sono all'ordine del giorno. L'esperienza diretta, anche spiacevole, quindi conta.

Una cyber security "ambiziosa"

Nell'indagine NTT le aziende si mostrano particolarmente "ambiziose" nella gestione della sicurezza. Ritengono cioè di diventare particolarmente preparate (almeno per un indice 3 su 5) in breve tempo (12-36 mesi). Magari non da sole. Le aziende più evolute coinvolgono partner affidabili nella definizione delle strategie e delle architetture di sicurezza. Altre sono meno pronte alla collaborazione, e non è un segnale positivo.

Anche perché, secondo NTT, le minacce più pericolose del 2018 non sono nuove. Ad esempio exploit delle vulnerabilità software e furto delle credenziali. La loro maggiore pericolosità deriva da quanto i cyber criminali hanno saputo adottare un modello "industriale" nei loro attacchi.


Inoltre, la superficie di attacco si frammenta per la proliferazione degli endpoint da un lato e dei servizi cloud dall'altro. "Sempre più gli endpoint - spiega Gianandrea Daverio, BU Manager Security di Dimension Data Italia - sono direttamente esposti su Internet senza una adeguata protezione. E c'è poca sensibilità dell'utente alla sicurezza, poca capacità di capire quali sono i comportamenti corretti da seguire".

Resta quindi difficile slegare la cyber security da considerazioni culturali. "Siamo lontani da un auspicato punto di arrivo - sottolinea Daverio - ma d'altra parte la sensibilità sul tema è molto superiore. Si è capito che la resilienza dell'impresa e dei suoi processi digitali è una responsabilità diffusa, del management e non solo dell'IT".

Ora l'evoluzione culturale deve andare ancora più avanti per far recepire concetti come la security by design. Che le normative stanno spingendo ma che non possono essere completamente imposti. "Avremo sempre dei problemi se, ad esempio, chi sviluppa un'applicazione non ha un'ottica di security by design o di zero trust. E lo stesso vale, ad un livello diverso, per chi costruisce l'architettura di un sistema informativo", spiega in questo senso Daverio.