Solo 7% delle realtà italiane reputa di avere una postura di sicurezza adeguata, contro una media globale del 15%. Il dato è negativo, ma è compensato da una crescita di consapevolezza dei board e dal fatto che il 94% delle organizzazioni italiane sta pianificando investimenti sulle infrastrutture IT per indirizzare le sfide della cybersecurity. Sono queste alcune informazioni chiave emerse dal Cybersecurity Readiness Index condotto da Cisco a livello globale in collaborazione con una realtà indipendente di ricerca, che ha coinvolto 6.700 professionisti in ambito security di 27 Paesi, fra cui l’Italia.

Andrea Castellano, Country Leader Sales Security per l’Italia, ha spiegato nel corso della presentazione alla stampa che questa ricerca è importante per avere “una fotografia a livello mondiale della situazione post pandemica, che permette di fare considerazioni sullo stato di maturità della sicurezza nelle varie aree geografiche, comprendere dove sono localizzati gli investimenti e avere il polso sulla situazione dei diversi settori aziendali in realtà di tutte le dimensioni”.

Cinque pilastri della security

Per lo studio sono stati presi in considerazione cinque pilastri della security, che sono gli stessi alla base dell’approccio Zero Trust Network Access (ZTNA) spostato da Cisco: Identità, dispositivi, rete, applicazioni e dati.

Per ciascun pilastro sono state esaminate una serie di caratteristiche, che vanno dall’integrazione delle soluzioni di Identity Access Management (IAM) alle piattaforme di protezione degli endpoint, passando per segmentazione e micro-segmentazione della rete, fino ad arrivare a backup e protezione dati. L’approccio così strutturato è importante perché segna il passaggio da cyber sicurezza a cyber resilienza, con l’obiettivo di resistere agli attacchi e non più di impedirli, che non è possibile.

A ciascuna voce è associato un punteggio per deployment e adozione, successivamente moltiplicato con parametri di peso. Così facendo Cisco ha normalizzato le risposte al sondaggio creando grafici che riassumono la situazione globale dei cinque pilastri in questione. Il fronte Identity è quello con la situazione migliore: sulla spinta del COVID e del lavoro da remoto tanti hanno investito in soluzione MFA, SSO, passwordless e questo fa sì che oltre il 40% delle aziende abbia ormai raggiunto un livello di maturità adeguato. Lo stesso si può dire per la parte device, perché le due soluzioni spesso fanno capo a iniziative e progetti paralleli.

Le note dolenti vengono a galla con la parte Networking, dove oltre il 60% delle aziende interpellate milita ancora nelle fasce Beginner e Formative. Castellano commenta che evidentemente “si è puntato di più sulla connettività, e solo adesso con l’input dell’hybrid working si è pensato a implementare soluzione per il networking. In generale, è troppo bassa l’adozione di soluzioni Network Detection and Response (NDR) e Network Access Control (NAC).

Male anche la parte delle applicazioni. L’ambito analizzato, “application workloads” rappresenta sia le app on-premise che quelle in cloud e i dati rivelano che la sicurezza è ancora molto immatura. Castellano denuncia che l’approccio che guida le applicazioni continua ad essere la velocità, con il rilascio di nuove funzionalità a rappresentare un indice di competitività sul mercato. Questo, tuttavia, va a discapito della sicurezza. Se si pensa che secondo dai IDC da qui al 2025 ci saranno 750 milioni di app che dovranno essere protette, è evidente come il DevSecOps sia un elemento da sviluppare nel corso dei prossimi anni.

Nel corso della presentazione Castellano ha sottolineato che le reti sempre più borderless da una parte garantiscono tanti benefici di business, ma dall’altra espongono maggiormente al rischio cyber perché complicano la protezione e l’individuazione degli attacchi. Probabilmente pochi si rendono conto della complessità che è dietro a ciascuna le app che usiamo.

L’ultimo comparto è quello dei dati, e la situazione non è rosea. Nonostante si continui a ripetere che i dati sono l’asset aziendale più prezioso e si assista ogni giorno a casi di data breach e data exfiltration, la protezione dei dati continua a non essere adeguatamente indirizzata. Vedi etc. I dati non sono protetti in modo adeguato: la metà delle aziende interpellate è solo in fase iniziale dell’adozione di progetti per la data protection e solo il 22% ha raggiunto un adeguato livello di maturità.

Unendo tutti i punti, la sensazione degli intervistati è chiara: il 15% delle aziende a livello mondo dichiara di essere matura a fronte degli elementi esaminati. Il 47% ha da poco hanno iniziato a fare deployment delle soluzioni di sicurezza, quindi c’è ancora tanto da fare.

Il focus sull’Italia

Alla ricerca hanno partecipato 200 manager italiani, di cui il 37% occupato nel settore della cybersecurity. Il 63% degli intervistati lavora in aziende con più di 250 impiegati, il 47% in aziende con meno di 250 dipendenti. Castellano ha attenzionato alcuni punti di particolare rilievo che permettono di scattare una fotografia della situazione nel Belpaese.

Il primo riguarda la maturità della postura di sicurezza: solo 7% delle realtà italiane dichiara di avere una postura di sicurezza adeguata, contro il dato globale del 15%. Il distacco è notevole, ma ci si consola leggendo che migliora la consapevolezza nei board aziendali, che sono poi gli abilitatori degli investimenti. Proprio sul fronte dei fondi stanziati, il 94% delle organizzazioni italiane sta pianificando investimenti sulle infrastrutture IT. Non solo: l’87% degli intervistati dice di avere disponibilità per un ulteriore 10% da destinare a soluzioni e servizi di sicurezza.

Castellano sottolinea che questi ultimi due dati sono allineati a quelli globali, ma con una differenza sostanziale: “in senso assoluto la nostra percentuale di budget overall è due o tre volte inferiore in ordine di grandezza rispetto ad altri mercati, fra cui USA. Quindi un extra del 10% va bene, ma la quota complessiva resta comunque troppo bassa”.

Un altro argomento che riguarda l’Italia è lo skill shortage: nel Belpaese mancano figure specializzate per tutti e cinque i pilastri analizzati dal report, e questo è motivo di preoccupazione. L’aspetto positivo che in Italia c’è una forte collaborazione fra pubblico e privato, che porta a un’ampia e preziosa condivisione di informazioni sia in materia di prevenzione sia di difesa.

Vettori di attacco

Uno degli elementi più preoccupanti in relazione all’Italia riguarda i vettori di attacco. Com’è possibile vedere nella slide riportata sopra, in Italia i primi tre vettori di attacco sono tutti legacy, ossia tecniche di attacco obsolete: il malware al primo posto, il phishing al secondo posto e gli attacchi SQL Injection al terzo. In altre parole, nonostante gli investimenti fatti finora siamo attaccati da oggetti che sono in circolazione da un molto tempo e da cui ormai dovremmo saperci difendere bene. Quando invece dovremmo essere a buon punto con la protezione dalle nuove minacce più sofisticate, che nella slide sono elencate nella parte bassa. La morale è che in linea teorica dovremmo proteggerci dagli attacchi base mentre ci attrezziamo per fronteggiare quelli nuovi: una missione molto difficile.