La sicurezza dell’identità digitale e la protezione degli accessi ai canali online non sono ancora una priorità per le aziende italiane. Il 73% delle organizzazioni con canali online dichiara infatti di affidarsi a sistemi basati su un singolo fattore di autenticazione. Solo il 13% delle organizzazioni fa affidamento a sistemi che sfruttano un doppio fattore di autenticazione, ovvero che verificano l’identità attraverso due step non correlati tra loro (per esempio password e biometria). E soltanto il 2% delle aziende ha implementato sistemi di autenticazione adattiva, in grado di misurare il livello di rischio e inserendo un secondo passaggio di sicurezza solo se necessario. È quanto emerge dai risultati di un’indagine di Minsait in collaborazione con gli Osservatori Digital Innovation del Politecnico di Milano che CorCom pubblica in anteprima.
La fotografia dello scenario italiano
Secondo il rapporto, intitolato “La digitalizzazione delle vendite in Italia”, sul fronte delle infrastrutture e delle applicazioni in Cloud, tra le organizzazioni vi è, invece, un buon livello di attenzione nella ricerca di vulnerabilità che possono permettere ad attori malevoli di accedere ai sistemi aziendali. Il 33% delle imprese si affida a strumenti di application security in modalità Interactive Application Security Testing (Iast) e Dynamic Application Security Testing (Dast), mentre il 13% preferisce strumenti di Vulnerability Assessment (Va) e Penetration Test (Pt). Il 35% del campione svolge valutazioni periodiche utilizzando tutte queste modalità in modo diversificato. Il restante 19% delle aziende non ha stabilito una chiara strategia di identificazione delle vulnerabilità di applicazioni e infrastrutture e rischia di farsi cogliere impreparato.
In merito alla protezione dei dati, l’82% delle organizzazioni utilizza soluzioni di backup e recovery per proteggere i dati, mentre il 56% usa soluzioni di Data discovery & classification per identificare e classificare i dati attribuendo loro diversi requisiti di sicurezza. Il 52% delle organizzazioni utilizza soluzioni di Data masking per mascherare i dati sensibili attraverso tecniche di anonimizzazione o crittografia. Solo il 27% utilizza soluzioni di Identity & access management per gestire e monitorare gli accessi degli utenti a infrastrutture, applicazioni e dati critici.
La spinta della compliance con il Gdpr
Un impulso a dotarsi di soluzioni per la sicurezza dei dati deriva anche dalla necessità di compliance ai requisiti imposti dalla normativa: l’83% delle aziende italiane ha completato i propri progetti di adeguamento al Gdpr, la normativa di riferimento per la protezione dei dati personali, e un ulteriore 10% dichiara che sono in corso progetti di adeguamento, nonostante la piena applicabilità della regolamentazione risalga al 2018.
“Dotarsi di tecnologie, metodi e processi di sicurezza digitale non significa solo proteggere i dati sensibili e il patrimonio informativo delle organizzazioni, ma anche guadagnare la fiducia dei consumatori che si sentono al sicuro a interagire con le aziende attraverso i canali di vendita digitali”, commenta Sergio Scornavacca, direttore Cybersecurity di Minsait in Italia e Amministratore di Net Studio, l’azienda del Gruppo specializzata in Cybersecurity, Digital Identity e Access Management.
Un confronto tra i principali settori
Il settore che risulta più attento alla sicurezza nelle interazioni con i clienti è quello bancario. Il 55% delle aziende in questo verticale è dotato di sistemi di autenticazione basati su doppio fattore (contro il 13% della media) e sta sperimentando in maniera più diffusa l’implementazione di sistemi di autenticazione adattiva (13% contro il 2% della media). Anche le Pubbliche Amministrazioni e le aziende sanitarie, in parte spinti da obblighi normativi, hanno messo in sicurezza l’accesso degli utenti ai portali online: il 79% delle Pa e il 70% delle strutture sanitarie offrono ai clienti la possibilità di accedere sia attraverso credenziali proprietarie sia attraverso sistemi di identità digitale nazionali (come Spid e Cie).
Per quanto riguarda le attività di security assessment, i settori più virtuosi sono quello Bancario & Assicurativo e quello delle Utility: in entrambi i casi la totalità delle aziende svolge attività periodiche di individuazione delle vulnerabilità applicando diverse modalità. Comparti più carenti da questo punto di vista sono quello Manifatturiero e quello Telco e Media, in cui si prediligono attività svolte all’occorrenza una tantum. Anche nella Pa si denota un livello di attenzione al tema non sempre sufficiente: il 37% delle organizzazioni sembra non aver stabilito una chiara strategia di identificazione delle vulnerabilità di applicazioni e infrastrutture.
I settori più attenti alla compliance normativa sono anche quelli caratterizzati da una maggiore pressione regolamentare, ovvero Bancario ed Energy&Utility. Anche il settore pubblico vede un’altissima adozione del regolamento Gdpr, il 99% delle Pa e delle strutture sanitarie dichiara di aver completato i processi di adeguamento.
