SlideShare ist ein Scribd-Unternehmen logo

TIGPaper_Cybersecurity Trends_ V.1

Elena Vaciago
Elena Vaciago
1 von 14
Downloaden Sie, um offline zu lesen
2015 CYBERSECURITY TRENDS & ACTIONS 2015 Febbraio 2015
© The Innovation Group - 2015 | 1
© The Innovation Group - 2015 | 2 2015 CYBERSECURITY TRENDS&ACTIONS UNA RICERCA DI:
© The Innovation Group - 2015 | 3 CYBERSECURITY & RISK MANAGEMENT LEADERSHIP PROGRAM Il presente documento è parte dell’attività di Ricerca di The Innovation Group rivolta agli iscritti a un programma di attività specifico sui temi della Cybersecurity e del Risk Management. Si tratta di un programma di elevato profilo per favorire la diffusione di conoscenza sul tema del controllo e della mitigazione del Rischio Cyber, arricchito dalla partecipazione di Deloitte Italia, in veste di Partner tecnico nello sviluppo dei contenuti, e di un Advisory Board di esperti e di aziende Leader del settore. Gli iscritti al programma possono infatti partecipare a: Workshop e Roundtable dedicate, per entrare in contatto con esperti ed essere aggiornati sugli ultimi trend dell’industria. Webinar: una serie di appuntamenti nel corso del 2015 per essere informati sui temi più attuali del momento. Canale tematico: un sito con news, commenti sulle evoluzioni normative in corso, interviste a CSO, Security e Risk Manager. Ricerche: una selezione di ricerche e studi costantemente aggiornata, oltre che indagini, survey ed approfondimenti prodotti dagli Analisti di mercato di The Innovation Group e dal Partner Tecnico Deloitte Italia. Discussioni: la possibilità di partecipare a dibattiti con gli altri iscritti al programma. Newsletter: per rimanere in contatto ed essere informati sulle attività e i contenuti del programma. Il Cybersecurity e Risk Management Leadership Program ha lo scopo di aiutare le aziende di diversa estrazione, le organizzazioni, i diversi stakeholder della tematica ad individuare i gap della propria situazione e le possibili risposte per il miglioramento del profilo di Cyber Risk, rivolgendosi a coloro che a vario titolo sono coinvolti nelle scelte legate alla sicurezza in azienda. Roberto Masiero Co-Founder The Innovation Group Ezio Viola Co-Founder The Innovation Group
© The Innovation Group - 2015 | 4 2015 CYBERSECURITY TRENDS&ACTIONS. COSA DOBBIAMO ASPETTARCI, COME REAGIRE 10 riflessioni per i Professional aziendali impegnati nella gestione dei rischi Cyber E’ proprio il caso di dire che il 2014 si è chiuso “in bellezza” con l’attacco cyber alla Sony Pictures. Presente anche nel discorso di fine anno del Presidente Obama, la vicenda si è poi trascinata per oltre 1 mese. Il 2014 è stato in effetti un anno in cui l’escalation di data breach (a Target, Home Depot, Staples, Michaels, Kmart, Bebe Stores, eBay, il Dipartimento di Public Health e Human Services del Montana) ha segnato un momento di non ritorno. Prendiamolo come punto di riferimento: l’anno in cui tutte le aziende si sono rese conto di essere completamente esposte ai rischi cyber e che l’occorrenza di un incidente di qualche tipo sarebbe stata solo questione di tempo. Questo porta a un diverso atteggiamento: non si tratta tanto di chiedersi quando e come saremo attaccati, ma piuttosto, se saremo in grado di rispondere a un attacco per minimizzarne gli effetti – o quanto saremo veloci nell’identificarne un’intrusione in corso e bloccarla. The Innovation Group – in coincidenza con il lancio del Cybersecurity e Risk Management Leadership Program, un programma rivolto ai manager aziendali ed ai board members sviluppato con il supporto di Deloitte ERS - Cyber Risk Services - attraverso un’attenta attività di ricerca e consolidamento delle evidenze di primari istituti internazionali, integrate con i pareri dei principali esperti del settore, ha identificato i trend più importanti in tema di Cybersecurity di cui si avrà evidenza già a partire dal 2015 e di conseguenza quali saranno le principali azioni su cui le aziende dovranno focalizzarsi. Cosa dobbiamo aspettarci quindi per il 2015 in tema di cybersecurity e gestione dei rischi cyber? TREND 1 - L’ATTIVITÀ DEL CYBER CRIMINALS SARÀ ANCORA PIÙ INTENSA NEL CORSO DEL 2015 DI QUANTO NON SIA STATA FINORA, E SI SPOSTERÀ PROGRESSIVAMENTE VERSO NUOVI OBIETTIVI COME MOBILE, SOCIAL MEDIA, IOT E SERVIZI CLOUD Gli esperti si aspettano incrementi nella sofisticazione e complessità degli attacchi: le minacce diventeranno sempre più efficaci, in tutti gli ambiti ICT, da quelli tradizionali ai nuovi ambienti mobile, cloud, social e IoT. Questo avverrà sia perché gli hacker dispongono di tecnologie allo stato dell’arte (mentre i sistemi attaccati sono basati su software obsoleti, non aggiornati e non protetti) sia perché vantano forme di collaborazione in rete sempre più efficaci. E’ quanto ha dichiarato di recente Steve Durbin, Managing Director dell’Information Security Forum (ISF) in un’intervista con CSO Online 1 . Il Cyber Crime sta crescendo in scala e impatto anche secondo l’indagine iOCTA 1 “5 information security trends that will dominate 2015”, di Thor Olavsrud, CSO Online, 10 dicembre 2014 L’anno in cui tutte le aziende si sono rese conto di essere completamente esposte ai rischi cyber e che l’occorrenza di un incidente di qualche tipo sarebbe stata solo questione di tempo
© The Innovation Group - 2015 | 5 2014 dell’Europol EC3 2 , secondo cui l’Europa rimarrà nei prossimi anni un target delle organizzazioni criminali. Queste, per lo più basate in Stati non EU e in grado di acquisire tutti gli skill tecnici che servono on demand, oltre che di sfruttare per i propri fini caratteristiche di Internet (come l’anonimato, la crittografia, le monete virtuali), stanno creando non poche difficoltà alle forze dell’ordine. Figura 1. I trend della Cybersecurity Fonte: The Innovation Group, 2015 L’evoluzione delle minacce richiede alle organizzazioni di dotarsi di nuove capabilities. A causa della crescente consumerizzazione dell’IT, un’attenzione particolare sarà rivolta dagli hacker ai device mobile, che presentano un punto di ingresso particolarmente facile da sfruttare per accedere a password, dati personali di identificazione, account. In aggiunta la proliferazione delle stesse mobile App, molte delle quali possono essere utilizzate come veicolo di mobile malware, rende ancora più complesso l’impostazione di standard di sicurezza. Inoltre (come ha dichiarato il vendor di Security McAfee) è probabile che il ransomware (gli attacchi che chiedono un riscatto economico per restituire l’accesso a device e servizi) sarà rivolto sempre di più a servizi e dati posizionati nel Cloud. Un’ulteriore evoluzione è quella che vedrà gli attacchi di phishing passare dalla posta elettronica agli ambienti Social. ll tema dell’IoT si presenta già oggi come la nuova frontiera del cyber crime. Gartner prevede 4,9 miliardi di oggetti connessi a Internet per il 2015, in crescita del 30% rispetto al 2014: un fenomeno che porta con sé enormi opportunità ma presenta anche rischi del tutto nuovi e non ancora conosciuti. TREND 2 - LE NORME PER IL CONTRASTO AL CYBER CRIME A CUI LE AZIENDE DOVRANNO UNIFORMARSI SARANNO PIÙ NUMEROSE E STRINGENTI Le nuove norme andranno a toccare aspetti come la capacità delle aziende di “armarsi” in modo conveniente, rafforzare le attività di incident response oltre che di computer 2 2014 iOCTA (Internet Organised Crime Threat Assessment), di Europol - EC3 (European Cybercrime Centre), settembre 2014 L’evoluzione delle minacce richiede alle organizzazioni di dotarsi di nuove capabilities
© The Innovation Group - 2015 | 6 forensic e di data protection. Ad esempio, di recente il Presidente Obama ha anticipato nuove proposte di legge secondo cui tutte le aziende dovranno in futuro – in caso di data breach – allertare i clienti del furto dei dati entro 30 giorni. Sempre negli USA un rappresentante democratico del Congresso, Elijah Cummings, ha richiesto alla Sony informazioni dettagliate sui data breach subiti e sulle misure di cybersecurity implementate finora, in quanto queste informazioni possono servire al Congresso per decidere quali nuove leggi saranno necessarie per proteggere al meglio le aziende USA. "The increasing number and sophistication of cyber attacks on both public and private entities pose a clear and present danger to our national security and highlight the urgent need for greater collaboration to improve data security," ha scritto Cummings 3 a Michael Lynton, CEO di Sony Pictures. Cummings chiede alla Sony di fornire oltre alla descrizione di tutti gli attacchi subiti nell’ultimo anno (con il dettaglio dei dipendenti e clienti danneggiati) anche un’analisi forensica dei data breach e ogni chiarimento possibile sul malware utilizzato dagli hacker. Sul fronte dell’Incident Response, le aziende saranno spinte a diventare più efficaci nei propri piani di reazione, e questo amplierà il ricorso all’automazione delle attività da svolgere in caso di incidente. Ci si dovrà aspettare nuove norme con requisiti sul fronte della Digital Forensic, che permette, in caso di incidente, di risalire più facilmente alla comprensione di cosa è successo, come e chi è stato, come attrezzarsi per prevenire il ripetersi dell’accaduto in futuro. L’impegno degli esperti di cybersecurity dovrà essere sempre di più sul fronte del controllo e dell’arresto di attività fraudolente (il più velocemente possibile appena vengono scoperte) ma anche sugli aspetti di investigazione, in modo da comprendere cosa è avvenuto e perché, ossia quali sono state le motivazioni che hanno spinto gli hacker. Figura 2. Elementi che impattano sulla soluzione di Cybersecurity Fonte: The Innovation Group, 2015 3 “US lawmaker asks Sony for details on data breach” di Grant Gross, IDG News Service, 23 dicembre 2014
© The Innovation Group - 2015 | 7 Sul fronte della Privacy, le nuove norme porteranno le aziende a una maggiore consapevolezza del valore di un corretto approccio nella protezione dei dati personali. La perdita di dati personali relativi a clienti, dipendenti, partner, è oggi per le aziende sia un problema di non-compliance, sia anche un business risk perché comporta forti impatti sul fronte della reputazione del brand, oltre che possibili azioni legali e quindi perdite economiche. In Europa è prevedibile che ci sarà un avanzamento su questo fronte, con l’avvio della Data Protection Reform, che garantirà una maggiore uniformità delle norme relative alla Privacy nei Paesi membri oltre che richiedere nuove misure (come la designazione di un Data Protection Officer e il set up di processi di cyber risk assessment e data breach notification, di privacy by default e di secure processing). Secondo Forrester Research in futuro avere una corretta gestione della Privacy sarà un elemento di differenziazione competitivo – l’importante è che la Privacy sia correttamente diffusa attraverso tutta l’organizzazione oltre che nell’erogazione di servizi e prodotti ai clienti. TREND 3 - LA DIFFUSIONE DI BYOD E INSIDER THREATS SPINGERANNO LE AZIENDE A FOCALIZZARSI MAGGIORMENTE SUL CONTROLLO DEI DIPENDENTI O DI TERZE PARTI Il termine BYOD (Bring Your Own Device) descrive la politica scelta da un’azienda che permette ai propri dipendenti di utilizzare i propri device personali (in particolare Smartphone e Tablet) per accedere a risorse aziendali come applicazioni e dati - sul posto di lavoro o da remoto, in mobilità, da casa. La grande diffusione di smartphone e tablet a livello consumer ha portato infatti le persone ad utilizzarli parzialmente anche per aspetti lavorativi, con una commistione di utilizzi che comporta notevoli rischi per le aziende. Oggi l’utilizzo dei device Mobile personali anche per scopi lavorativi è in effetti una realtà, che spesso sfugge al controllo della stessa IT aziendale. Non sempre però le aziende sono consapevoli dei rischi che questo fenomeno comporta, e ancora meno hanno predisposto policy e misure per contenere le possibili perdite di dati o possibili infiltrazioni di malware da Mobile personale. L’interesse per l’attuazione di un programma BYOD è in crescita, come registrano anche le survey a livello internazionale: Forrester Research ha stimato nel 2013 che se un 70% circa delle organizzazioni ha intenzione di investire per la sicurezza dei dispositivi Mobile, un 46% prevede anche di implementare un programma BYOD. Un secondo tema rilevante è quello degli Insider Threats, ossia delle minacce originate dall’interno (contando non solo i dipendenti ma anche le terze parti). Si parla spesso di Cyber Risk con l’errata concezione che sia tutto solo dovuto ad attaccanti esterni, mentre ci sono evidenze importanti che i principali attacchi hanno tutti avuto insider per essere perpetrati. TREND 4 - ASSISTEREMO ALLA NASCITA DI NUOVI MECCANISMI DI DIFESA (COME QUELLI DI “ACTIVE DEFENSE” E “MALWARE TRAP”) E, IN ALCUNI CASI, ANCHE A FORME DI CONTRATTACCO DIGITALE CONTRO LE AZIONI DEGLI HACKER Nota positiva, le aziende stanno cominciando a sviluppare nuovi approcci per ingannare i cyber criminal e attirarli verso “malware trap” - complete di server e software fasullo – Oggi l’utilizzo dei device Mobile personali anche per scopi lavorativi è in effetti una realtà, che spesso sfugge al controllo della stessa IT aziendale
© The Innovation Group - 2015 | 8 per analizzare i comportamenti degli attaccanti, individuarli e prevenire altre azioni malevole. Un esempio di questo è quanto proposto dalla start-up israeliana TrapX, che già oggi conta clienti USA nei settori finanziario e retail. Altre società che stanno lavorando sul concetto delle malware trap sono l’israeliana GuardiCore e Juniper Networks 4 . Di recente poi su Bloomberg è apparsa la notizia che l’FBI starebbe investigando alcune grandi corporation americane accusate di essersi spinte oltre quanto permesso dalla legge nella caccia e contrattacco agli hacker. Banche, retailers, società energetiche avrebbero cercato di entrare nelle reti di gruppi di cyber attaccanti per riottenere dati o anche per disattivare i server da cui avevano avuto origine gli attacchi – ad esempio alcuni server posizionati in Iran e considerati responsabili di vari attacchi nel 2013. Insomma, una sorta di Wild West digitale 5 . Da questi trend generali si deducono quindi quali saranno le principali azioni (ACTION) su cui le aziende dovranno focalizzarsi nel corso del prossimo anno. ACTION 1 - CON LA CONTINUA CRESCITA DEI RISCHI IT, LE ORGANIZZAZIONI DOVRANNO PUNTARE A DARSI DELLE PRIORITÀ E AD INVESTIRE SU SERVIZI DI THREAT INTELLIGENCE PER ADOTTARE APPROCCI PROATTIVI Le aziende dovranno nel 2015 focalizzarsi maggiormente sulle proprie aree di rischio Cyber, e nel dipartimento di IT Security puntare ad assegnare la giusta priorità ai diversi task. Inoltre, dovranno puntare ad avere un approccio “intelligence-led” integrando il più possibile attività di Threat Intelligence (anche fornite dall’esterno, da player specializzati) per essere in grado di individuare e comprendere nel minor tempo possibile le principali minacce per la propria realtà. Figura 3. Approccio Risk-Based nel Framework proposto dal NIST Fonte: Framework for Improving Critical Infrastructure Cybersecurity National Institute of Standards and Technology, February 12, 2014 4 “Cyber security groups use fake computers to trap hackers”, di Hannah Kuchler, The Financial Times, 1 gennaio 2015 5 “FBI Investigating Whether Companies Are Engaged in Revenge Hacking” di Michael Riley e Jordan Robertson, 30 dicembre 2014, Bloomberg
© The Innovation Group - 2015 | 9 Già oggi, nello sforzo di prevenire l’esposizione alle nuove minacce del cyber crime le organizzazioni di IT Security sono oberate da attività di update, patching, vulnerability assessment, manutenzione degli apparati di security, threat management. Solo considerando il patching, la continua scoperta di vulnerabilità (comprese quelle emerse con Heartbleed e Shellshock) ha obbligato lo scorso anno i Security team a caricarsi di nuove incombenze. In queste situazioni, è fondamentale imporsi una lista di priorità – in modo da affrontare prima le criticità più importanti per la difesa dell’azienda – ragionando quindi in ottica di Risk Management e puntando a identificare, nella grande mole di informazioni disponibili, quelle effettivamente critiche per l’organizzazione. ACTION 2 - FAR EVOLVERE L’ATTUALE ARCHITETTURA PER LA CYBERSECURITY TENENDO CONTO DELLE NUOVE SFIDE E DELLA NECESSITÀ DI CONCENTRARE MAGGIORMENTE ATTIVITÀ E PROCESSI SUGLI ASSET DI MAGGIOR VALORE PER IL BUSINESS Con riferimento al disegno dell’architettura di cybersecurity, questa dovrà tener conto dell’impatto dovuto all’evoluzione delle minacce verso le nuove superfici d’attacco (BYOD, Cloud, IoT, Virtual server). Le aziende dovranno rafforzare il controllo e la visibilità sia sul network interno sia sugli endpoint, estendere il perimetro della protezione ai nuovi ambienti vulnerabili, focalizzarsi maggiormente che non in passato sugli aspetti della data security, ad esempio con tecniche selettive di encryption, e sull’identity e access management, per rafforzare il controllo delle identità e degli accessi. Non vanno sottovalutati inoltre gli aspetti di detection e response, perchè come dimostrano i casi costantemente commentati nei Media, molto spesso pur essendo in corso un attacco, le aziende non se ne sono rese conto. ACTION 3 - NEL 2015 IL BOARD DELLE AZIENDE – SAPENDO DI DOVER RISPONDERE PIÙ CHE NON IN PASSATO ALLA POSSIBILI CONSEGUENZE NEGATIVE DI GRAVI ATTACCHI CYBER - DOVRÀ VALUTARE CON PRECISIONE QUAL È L’ESPOSIZIONE DELLA PROPRIA AZIENDA A QUESTO RISCHIO Secondo Forrester Research, nel 2015, come conseguenza di maggiori investimenti nella rilevazione di data breach, la maggior parte delle aziende (il 60%) scoprirà di essere stata presa di mira da qualche hacker. Se non lo scoprirà da sola, sarà avvisata da agenzie governative, esperti di sicurezza o dagli stessi clienti. In molti casi però le aziende non saranno veloci nel fornire una corretta risposta. Il Management delle aziende comincerà a interrogare in modo pressante il CSO o il Security Manager (dove queste figure esistono) per essere rassicurato sulle capacità di difesa messe in atto. Spesso però, come mostrano le esperienze di data breach di grande impatto pur in presenza di budget di security di svariati milioni di dollari, non c’è una risposta precisa alla richiesta del Board. Gli executive delle aziende non parlano il linguaggio tecnico dei responsabili della Security, per cui non c’è modo per il Board di verificare se sono state intraprese le azioni veramente importanti per la salvaguardia degli asset fondamentali dell’azienda, e che nel caso di incidenti, se sono state minimizzate le conseguenze per l’azienda. Per risolvere questo problema è necessario
© The Innovation Group - 2015 | 10 ripensare le attività legate alla cybersecurity perché siano efficacemente calibrate sulle richieste del Business. “You need a security officer who is bilingual, who can convert the technology into the business language and present it with business metrics so the executives can make the right decisions about security moving forward” ha affermato Eric Cole, membro del SANS Cyber Defense Program, in un recente articolo su CSO Online 6 . Si noterà sempre di più che esiste una disconnessione tra le priorità aziendali in tema di mitigazione dei rischi cyber e le leve effettive (in altri termini, il budget per la cybersecurity) in essere. Come mostra un’indagine condotta nel 2014 da Deloitte in collaborazione con NASCIO (National Association of State Chief Information Officer) 7 , nonostante ci sia stata una crescita degli investimenti per la cybersecurity negli ultimi anni, il budget continua a essere considerato insufficiente dai CISO. Il problema è che il budget andrebbe maggiormente collegato a indicatori che ne misurino l’efficacia, metriche e benchmark per dimostrare le performance del programma di cybersecurity ai Board members. Solo lavorando maggiormente allo sviluppo di queste metriche i CISO possono arrivare a definire qual è la propria “cybersecurity posture”. Per arrivare a queste misure di efficacia sarebbe anche utile aver misurato l’impatto economico di eventuali attacchi e data breaches. ACTION 4 - BISOGNA PRESTARE MAGGIORE ATTENZIONE IN FUTURO AI RISCHI ORIGINATI NON SOLTANTO ALL’INTERNO DELL’ORGANIZZAZIONE MA NELL’“AZIENDA ESTESA” – CONSIDERANDO CON QUESTA LA SUPPLY CHAIN E I COLLEGAMENTI CON CLIENTI/TERZE PARTI Nell’economia globale i legami con le terze parti della Supply Chain o delle vendite (canale, distributori) sono sempre più vitali per le aziende, ma i Security manager cominciano ad essere seriamente preoccupati della possibilità di perdere il controllo diretto sui dati. Inoltre, come mostrato di recente dal caso Target, le stesse connessioni di rete con i fornitori possono diventare veicolo per attacchi cyber. Una soluzione può essere quella di far lavorare a più stretto contatto i responsabili dell’IT Security con chi si occupa di formalizzare i contratti con le terze parti. Lo stesso discorso vale anche per i piani di Business Continuity, che devono tener conto del possibile impatto negativo di incidenti sia generati da player della Supply Chain, sia dalla stessa azienda, con ripercussioni negative verso le terze parti, danno d’immagine e possibili contenziosi legali per i danni arrecati. Anche nei confronti dei provider di servizi e prodotti tecnologici, nuove misure saranno volte a garantire che hardware e software siano intrinsecamente sicuri. In particolare, nella selezione e acquisto di software, saranno sempre più spesso richiesti test da parte di società indipendenti specializzate sulla sicurezza e qualità del software 8 . 6 “5 lessons to help security pros craft a New Year’s resolution” di Eric Cole, CSO Online, 22 dicembre 2014 7 “2014 Deloitte – NASCIO Cybersecurity Study”, di Deloitte & Touche e NASCIO, 2014 8 “Taking IT Security's Pulse: What to Expect in 2015”, di Torsten George, SecurityWeek, 22 dicembre 2014
© The Innovation Group - 2015 | 11 ACTION 5 - SI DEVE DARE MAGGIORE IMPORTANZA AL TEMA DELLA SECURITY AWARENESS E DELL’EDUCATION DELLE PERSONE, O DELLA DEFINIZIONE DI PROCEDURE SPECIFICHE PER EVITARE ERRORI GROSSOLANI Molti degli attacchi visti nel corso del 2014 erano basati su tecniche piuttosto elementari di social engineering che avrebbero potuto essere controllate con una maggiore formazione e quindi security awareness rivolta agli utenti finali. In futuro tutti saranno sensibilizzati sulla necessità di adottare comportamenti più responsabili ed essere in grado di comprendere quando mail malevole di phishing inducono le persone a rilasciare le proprie credenziali su siti web fake o scaricare malware (tipicamente Trojan). Non che molto non sia già stato fatto: soprattutto nelle grandi organizzazioni e in settori critici come il mondo finanziario i programmi di formazione sulla sicurezza non sono mancati. Probabilmente però l’approccio non è stato quello giusto: non si tratta di vendere la sicurezza come un obbligo, ma piuttosto di renderla parte integrante, “valore” dei processi di business. Dovrebbero quindi essere premiati i comportamenti delle persone che aiutano a ridurre il rischio complessivo per il business. ACTION 6 - BISOGNA PUNTARE A MAGGIORE COLLABORAZIONE E SCAMBIO DI INFORMAZIONI PER SVILUPPARE MISURE DI DIFESA COLLETTIVE NEL MODO PIÙ ORGANIZZATO ED EFFICACE Gli hacker, come noto, collaborano attivamente nell’Internet underground, si scambiano informazioni sulle tecniche di attacco, inviano contemporaneamente centinaia di milioni di mail di spam da botnet malevole che coinvolgono computer disseminati nel mondo, orchestrano attacchi APT che prendono di mira centinaia di migliaia di organizzazioni e si protraggono per anni. Lo stesso tipo di collaborazione e “intelligenza distribuita” non avviene però sull’altro fronte, quello della difesa (o contrattacco). Solo in pochi settori sono stati attivati scambi di informazioni sugli attacchi in corso e sulle contromisure più efficaci. Il caso più spesso citato è quello del mondo bancario – negli USA il Financial Services Information Sharing and Analysis Center (FS ISAC) è infatti attivo dal 1999. L’Information Sharing diventerà quindi un obiettivo nelle politiche di Cybersecurity del 2015. Secondo Gartner sarà necessario in futuro orientarsi su un linguaggio come, come lo STIX (Structured Threat Information eXpression language), anche per far fronte alla complessità di gestione e integrazione di dati sulla sicurezza provenienti dal mondo IoT. A queste attività dovranno naturalmente collaborare attivamente agenzie pubbliche, attraverso lo sviluppo di standard e protocolli di comunicazione, oltre che mettendo a disposizione delle aziende propri servizi di CERT (Computer Emergency Response Team). Da parte degli Stati, sarà anche necessario, contestualmente a nuove regolamentazioni per incrementare l’attenzione delle aziende, definire pene più severe per contrastare il cyber crime.
© The Innovation Group - 2015 | 12 Hanno collaborato alla realizzazione dello Studio: Elena Vaciago, Research Manager, The Innovation Group Stefano Buschi, Cyber Risk Services Leader e Partner, Deloitte The Innovation Group (TIG) è una società di servizi di consulenza direzionale, advisory e ricerca indipendente fondata da Roberto Masiero ed Ezio Viola, specializzata nella innovazione del Business e dei processi aziendali attraverso l’utilizzo delle tecnologie digitali e delle nuove tecnologie della conoscenza. Si rivolge ad Aziende ed Organizzazioni che desiderano sviluppare strategie di crescita attraverso programmi, iniziative e progetti di innovazione del Business, di “go to market”, di produzione e gestione integrata della conoscenza interna ed esterna dell’azienda tramite le tecnologie ICT. The Innovation Group è formato da un Team con esperienze consolidate, sia a livello locale sia internazionale, si avvale del contributo di partnership strategiche con Aziende e Istituti internazionali che garantiscono un forte e continuo sviluppo di ricerca e di conoscenza dei mercati, delle tecnologie e delle migliori pratiche nei principali settori verticali. Alle Aziende e alle Organizzazioni The Innovation Group si propone con un approccio pragmatico, volto ad affiancarle ed accompagnarle nella fase di realizzazione di piani strategici, per valorizzare le risorse e le capacità esistenti all’interno e prendere le decisioni più utili in tempi rapidi. The Innovation Group si avvale di forti partnership internazionali per la ricerca e la conoscenza di mercati, tecnologie e best practice. Tutte le informazioni/i contenuti presenti sono di proprietà esclusiva di The Innovation Group (TIG) e sono da riferirsi al momento della pubblicazione. Nessuna informazione o parte del report può essere copiata, modificata, ripubblicata, caricata, trasmessa, postata o distribuita in alcuna forma senza un permesso scritto da parte di TIG. L’uso non autorizzato delle informazioni / i contenuti della presente pubblicazione viola il copyright e comporta penalità per chi lo commette. Copyright © 2015 The Innovation Group.
© The Innovation Group - 2015 | 13

Empfohlen

TIGPaper_Compliance e Cybersecurity -210115
TIGPaper_Compliance e Cybersecurity -210115TIGPaper_Compliance e Cybersecurity -210115
TIGPaper_Compliance e Cybersecurity -210115
Elena Vaciago
 
TIG White Paper Trends della Cybersecurity _maggio 2013
TIG White Paper Trends della Cybersecurity _maggio 2013TIG White Paper Trends della Cybersecurity _maggio 2013
TIG White Paper Trends della Cybersecurity _maggio 2013
Elena Vaciago
 
Discorso cybersecurity
Discorso cybersecurityDiscorso cybersecurity
Discorso cybersecurity
GiulioTerzi
 
Il fenomeno cyber security e il mercato italiano
Il fenomeno cyber security e il mercato italianoIl fenomeno cyber security e il mercato italiano
Il fenomeno cyber security e il mercato italiano
CSI Piemonte
 
Rete di sicurezza
Rete di sicurezzaRete di sicurezza
Rete di sicurezza
Vittorio Pasteris
 
Cyber ready?
Cyber ready?Cyber ready?
Cyber ready?
CSI Piemonte
 
Executive_IT_interview
Executive_IT_interviewExecutive_IT_interview
Executive_IT_interview
Antonio Iannuzzi
 
WHITEPAPER: L’Azienda Cyber Resilient: come sfruttare i vantaggi della Securi...
WHITEPAPER: L’Azienda Cyber Resilient: come sfruttare i vantaggi della Securi...WHITEPAPER: L’Azienda Cyber Resilient: come sfruttare i vantaggi della Securi...
WHITEPAPER: L’Azienda Cyber Resilient: come sfruttare i vantaggi della Securi...
Symantec
 

Empfohlen

TIGPaper_Compliance e Cybersecurity -210115
TIGPaper_Compliance e Cybersecurity -210115TIGPaper_Compliance e Cybersecurity -210115
TIGPaper_Compliance e Cybersecurity -210115
Elena Vaciago
 
TIG White Paper Trends della Cybersecurity _maggio 2013
TIG White Paper Trends della Cybersecurity _maggio 2013TIG White Paper Trends della Cybersecurity _maggio 2013
TIG White Paper Trends della Cybersecurity _maggio 2013
Elena Vaciago
 
Discorso cybersecurity
Discorso cybersecurityDiscorso cybersecurity
Discorso cybersecurity
GiulioTerzi
 
Il fenomeno cyber security e il mercato italiano
Il fenomeno cyber security e il mercato italianoIl fenomeno cyber security e il mercato italiano
Il fenomeno cyber security e il mercato italiano
CSI Piemonte
 
Rete di sicurezza
Rete di sicurezzaRete di sicurezza
Rete di sicurezza
Vittorio Pasteris
 
Cyber ready?
Cyber ready?Cyber ready?
Cyber ready?
CSI Piemonte
 
Executive_IT_interview
Executive_IT_interviewExecutive_IT_interview
Executive_IT_interview
Antonio Iannuzzi
 
WHITEPAPER: L’Azienda Cyber Resilient: come sfruttare i vantaggi della Securi...
WHITEPAPER: L’Azienda Cyber Resilient: come sfruttare i vantaggi della Securi...WHITEPAPER: L’Azienda Cyber Resilient: come sfruttare i vantaggi della Securi...
WHITEPAPER: L’Azienda Cyber Resilient: come sfruttare i vantaggi della Securi...
Symantec
 
Aziende poco pronte alla cyber insurance
Aziende poco pronte alla cyber insuranceAziende poco pronte alla cyber insurance
Aziende poco pronte alla cyber insurance
Luca Moroni ✔✔
 
APT, Social Network e Cybercriminali: Strategie difensive
APT, Social Network e Cybercriminali: Strategie difensiveAPT, Social Network e Cybercriminali: Strategie difensive
APT, Social Network e Cybercriminali: Strategie difensive
iDIALOGHI
 
Il fattore umano
Il fattore umanoIl fattore umano
Il fattore umano
CSI Piemonte
 
Formazione e Consapevolezza
Formazione e ConsapevolezzaFormazione e Consapevolezza
Formazione e Consapevolezza
CSI Piemonte
 
Clusit Education - Cyber Intelligence 2013 (Andrea Zapparoli Manzoni)
Clusit Education - Cyber Intelligence 2013 (Andrea Zapparoli Manzoni)Clusit Education - Cyber Intelligence 2013 (Andrea Zapparoli Manzoni)
Clusit Education - Cyber Intelligence 2013 (Andrea Zapparoli Manzoni)
iDIALOGHI
 
Strumenti ISACA a supporto della conformità con il GDPR
Strumenti ISACA a supporto della conformità con il GDPRStrumenti ISACA a supporto della conformità con il GDPR
Strumenti ISACA a supporto della conformità con il GDPR
Luca Moroni ✔✔
 
Cybersecurity oggi una priorità per i leader. Non più solo rischi operativi e...
Cybersecurity oggi una priorità per i leader. Non più solo rischi operativi e...Cybersecurity oggi una priorità per i leader. Non più solo rischi operativi e...
Cybersecurity oggi una priorità per i leader. Non più solo rischi operativi e...
Andrea Mennillo
 
La sicurezza delle reti aziendali ai tempi di Facebook
La sicurezza delle reti aziendali ai tempi di FacebookLa sicurezza delle reti aziendali ai tempi di Facebook
La sicurezza delle reti aziendali ai tempi di Facebook
AmmLibera AL
 
Cyber Crime, una minaccia che evolve
Cyber Crime, una minaccia che evolveCyber Crime, una minaccia che evolve
Cyber Crime, una minaccia che evolve
Morgan Jones
 
La sicurezza dei dati in un mondo digitale
La sicurezza dei dati in un mondo digitaleLa sicurezza dei dati in un mondo digitale
La sicurezza dei dati in un mondo digitale
CSI Piemonte
 
Webinar sicurezza nei social network
Webinar sicurezza nei social networkWebinar sicurezza nei social network
Webinar sicurezza nei social network
Matteo Barberi
 
Articolo aprile 2013 ict security
Articolo aprile 2013 ict securityArticolo aprile 2013 ict security
Articolo aprile 2013 ict security
Luca Moroni ✔✔
 
Sicurezza informatica per dipendenti pubblici
Sicurezza informatica per dipendenti pubbliciSicurezza informatica per dipendenti pubblici
Sicurezza informatica per dipendenti pubblici
CSI Piemonte
 
Privacy e sicurezza: come proteggere i dati - Enzo Veiluva
Privacy e sicurezza: come proteggere i dati - Enzo VeiluvaPrivacy e sicurezza: come proteggere i dati - Enzo Veiluva
Privacy e sicurezza: come proteggere i dati - Enzo Veiluva
CSI Piemonte
 
Rendere sicure le esperienze dell'individuo nel mondo digitale allargato - Pi...
Rendere sicure le esperienze dell'individuo nel mondo digitale allargato - Pi...Rendere sicure le esperienze dell'individuo nel mondo digitale allargato - Pi...
Rendere sicure le esperienze dell'individuo nel mondo digitale allargato - Pi...
Codemotion
 
Il cybercrime, la sicurezza e i rimedi st15
Il cybercrime, la sicurezza e i rimedi st15Il cybercrime, la sicurezza e i rimedi st15
Il cybercrime, la sicurezza e i rimedi st15
Fabio Meloni
 
Come proteggersi dagli attacchi informatici
Come proteggersi dagli attacchi informaticiCome proteggersi dagli attacchi informatici
Come proteggersi dagli attacchi informatici
Emerasoft, solutions to collaborate
 
Data Breach: i rischi odierni e come prevenirli
Data Breach: i rischi odierni e come prevenirliData Breach: i rischi odierni e come prevenirli
Data Breach: i rischi odierni e come prevenirli
CSI Piemonte
 
HealthCare CyberSecurity Swascan
HealthCare CyberSecurity SwascanHealthCare CyberSecurity Swascan
HealthCare CyberSecurity Swascan
Pierguido Iezzi
 
Alessandro Canella - convegno privacy - 23 Marzo 2004
Alessandro Canella - convegno privacy - 23 Marzo 2004Alessandro Canella - convegno privacy - 23 Marzo 2004
Alessandro Canella - convegno privacy - 23 Marzo 2004
Alessandro Canella
 
ProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber riskProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber risk
M2 Informatica
 
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
M2 Informatica
 

Weitere ähnliche Inhalte

Was ist angesagt?

Was ist angesagt? (20)

Aziende poco pronte alla cyber insurance
Aziende poco pronte alla cyber insuranceAziende poco pronte alla cyber insurance
Aziende poco pronte alla cyber insurance
 
APT, Social Network e Cybercriminali: Strategie difensive
APT, Social Network e Cybercriminali: Strategie difensiveAPT, Social Network e Cybercriminali: Strategie difensive
APT, Social Network e Cybercriminali: Strategie difensive
 
Il fattore umano
Il fattore umanoIl fattore umano
Il fattore umano
 
Formazione e Consapevolezza
Formazione e ConsapevolezzaFormazione e Consapevolezza
Formazione e Consapevolezza
 
Clusit Education - Cyber Intelligence 2013 (Andrea Zapparoli Manzoni)
Clusit Education - Cyber Intelligence 2013 (Andrea Zapparoli Manzoni)Clusit Education - Cyber Intelligence 2013 (Andrea Zapparoli Manzoni)
Clusit Education - Cyber Intelligence 2013 (Andrea Zapparoli Manzoni)
 
Strumenti ISACA a supporto della conformità con il GDPR
Strumenti ISACA a supporto della conformità con il GDPRStrumenti ISACA a supporto della conformità con il GDPR
Strumenti ISACA a supporto della conformità con il GDPR
 
Cybersecurity oggi una priorità per i leader. Non più solo rischi operativi e...
Cybersecurity oggi una priorità per i leader. Non più solo rischi operativi e...Cybersecurity oggi una priorità per i leader. Non più solo rischi operativi e...
Cybersecurity oggi una priorità per i leader. Non più solo rischi operativi e...
 
La sicurezza delle reti aziendali ai tempi di Facebook
La sicurezza delle reti aziendali ai tempi di FacebookLa sicurezza delle reti aziendali ai tempi di Facebook
La sicurezza delle reti aziendali ai tempi di Facebook
 
Cyber Crime, una minaccia che evolve
Cyber Crime, una minaccia che evolveCyber Crime, una minaccia che evolve
Cyber Crime, una minaccia che evolve
 
La sicurezza dei dati in un mondo digitale
La sicurezza dei dati in un mondo digitaleLa sicurezza dei dati in un mondo digitale
La sicurezza dei dati in un mondo digitale
 
Webinar sicurezza nei social network
Webinar sicurezza nei social networkWebinar sicurezza nei social network
Webinar sicurezza nei social network
 
Articolo aprile 2013 ict security
Articolo aprile 2013 ict securityArticolo aprile 2013 ict security
Articolo aprile 2013 ict security
 
Sicurezza informatica per dipendenti pubblici
Sicurezza informatica per dipendenti pubbliciSicurezza informatica per dipendenti pubblici
Sicurezza informatica per dipendenti pubblici
 
Privacy e sicurezza: come proteggere i dati - Enzo Veiluva
Privacy e sicurezza: come proteggere i dati - Enzo VeiluvaPrivacy e sicurezza: come proteggere i dati - Enzo Veiluva
Privacy e sicurezza: come proteggere i dati - Enzo Veiluva
 
Rendere sicure le esperienze dell'individuo nel mondo digitale allargato - Pi...
Rendere sicure le esperienze dell'individuo nel mondo digitale allargato - Pi...Rendere sicure le esperienze dell'individuo nel mondo digitale allargato - Pi...
Rendere sicure le esperienze dell'individuo nel mondo digitale allargato - Pi...
 
Il cybercrime, la sicurezza e i rimedi st15
Il cybercrime, la sicurezza e i rimedi st15Il cybercrime, la sicurezza e i rimedi st15
Il cybercrime, la sicurezza e i rimedi st15
 
Come proteggersi dagli attacchi informatici
Come proteggersi dagli attacchi informaticiCome proteggersi dagli attacchi informatici
Come proteggersi dagli attacchi informatici
 
Data Breach: i rischi odierni e come prevenirli
Data Breach: i rischi odierni e come prevenirliData Breach: i rischi odierni e come prevenirli
Data Breach: i rischi odierni e come prevenirli
 
HealthCare CyberSecurity Swascan
HealthCare CyberSecurity SwascanHealthCare CyberSecurity Swascan
HealthCare CyberSecurity Swascan
 
Alessandro Canella - convegno privacy - 23 Marzo 2004
Alessandro Canella - convegno privacy - 23 Marzo 2004Alessandro Canella - convegno privacy - 23 Marzo 2004
Alessandro Canella - convegno privacy - 23 Marzo 2004
 

Ähnlich wie TIGPaper_Cybersecurity Trends_ V.1

festival ICT 2013: Le nuove frontiere di ANFoV: agenda digitale, sicurezza de...
festival ICT 2013: Le nuove frontiere di ANFoV: agenda digitale, sicurezza de...festival ICT 2013: Le nuove frontiere di ANFoV: agenda digitale, sicurezza de...
festival ICT 2013: Le nuove frontiere di ANFoV: agenda digitale, sicurezza de...
festival ICT 2016
 
iDialoghi - Social Business Security - Social Media Week 2011
iDialoghi - Social Business Security - Social Media Week 2011iDialoghi - Social Business Security - Social Media Week 2011
iDialoghi - Social Business Security - Social Media Week 2011
iDIALOGHI
 

Ähnlich wie TIGPaper_Cybersecurity Trends_ V.1 (20)

ProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber riskProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber risk
 
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
 
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
 
festival ICT 2013: Le nuove frontiere di ANFoV: agenda digitale, sicurezza de...
festival ICT 2013: Le nuove frontiere di ANFoV: agenda digitale, sicurezza de...festival ICT 2013: Le nuove frontiere di ANFoV: agenda digitale, sicurezza de...
festival ICT 2013: Le nuove frontiere di ANFoV: agenda digitale, sicurezza de...
 
Cybersecurity 4.0
Cybersecurity 4.0Cybersecurity 4.0
Cybersecurity 4.0
 
Cyber-Security.pdf
Cyber-Security.pdfCyber-Security.pdf
Cyber-Security.pdf
 
Cyber Security Threats for Healthcare
Cyber Security Threats for HealthcareCyber Security Threats for Healthcare
Cyber Security Threats for Healthcare
 
Sicurezza Internet: tendenze e previsioni 2010
Sicurezza Internet: tendenze e previsioni 2010Sicurezza Internet: tendenze e previsioni 2010
Sicurezza Internet: tendenze e previsioni 2010
 
Smau Milano 2016 - Marco Bozzetti, Aipsi
Smau Milano 2016 - Marco Bozzetti, AipsiSmau Milano 2016 - Marco Bozzetti, Aipsi
Smau Milano 2016 - Marco Bozzetti, Aipsi
 
Social media management-webinar-virtual-meeting-05_2011_webinar
Social media management-webinar-virtual-meeting-05_2011_webinarSocial media management-webinar-virtual-meeting-05_2011_webinar
Social media management-webinar-virtual-meeting-05_2011_webinar
 
iDialoghi - Social Business Security - Social Media Week 2011
iDialoghi - Social Business Security - Social Media Week 2011iDialoghi - Social Business Security - Social Media Week 2011
iDialoghi - Social Business Security - Social Media Week 2011
 
16 02 2016 mauro alovisio privacy e cybercrime(1)
16 02 2016 mauro alovisio privacy e cybercrime(1)16 02 2016 mauro alovisio privacy e cybercrime(1)
16 02 2016 mauro alovisio privacy e cybercrime(1)
 
TorinoIn 16 feb 2016 Avv. Mauro Alovisio Privacy e Cybercrime
TorinoIn 16 feb 2016 Avv. Mauro Alovisio Privacy e CybercrimeTorinoIn 16 feb 2016 Avv. Mauro Alovisio Privacy e Cybercrime
TorinoIn 16 feb 2016 Avv. Mauro Alovisio Privacy e Cybercrime
 
5 Dati Fondamentali Sulle Minacce Avanzate
5 Dati Fondamentali Sulle Minacce Avanzate5 Dati Fondamentali Sulle Minacce Avanzate
5 Dati Fondamentali Sulle Minacce Avanzate
 
iDialoghi - Social Media Security Management
iDialoghi - Social Media Security Management iDialoghi - Social Media Security Management
iDialoghi - Social Media Security Management
 
Padova13 luca moroni3
Padova13 luca moroni3Padova13 luca moroni3
Padova13 luca moroni3
 
Relazione tavola rotonda 14 marzo final
Relazione tavola rotonda 14 marzo finalRelazione tavola rotonda 14 marzo final
Relazione tavola rotonda 14 marzo final
 
Perché oggi è importante tutelare le informazioni
Perché oggi è importante tutelare le informazioniPerché oggi è importante tutelare le informazioni
Perché oggi è importante tutelare le informazioni
 
iDialoghi - ICT Security Consulting
iDialoghi - ICT Security ConsultingiDialoghi - ICT Security Consulting
iDialoghi - ICT Security Consulting
 
30.04.20 cybersecurity q&a
30.04.20 cybersecurity q&a30.04.20 cybersecurity q&a
30.04.20 cybersecurity q&a
 

Mehr von Elena Vaciago

TIGPaper_DevOps_170615 Final
TIGPaper_DevOps_170615 FinalTIGPaper_DevOps_170615 Final
TIGPaper_DevOps_170615 Final
Elena Vaciago
 
TIG White Paper - Innovare il Customer Service e la Customer Experience
TIG White Paper - Innovare il Customer Service e la Customer ExperienceTIG White Paper - Innovare il Customer Service e la Customer Experience
TIG White Paper - Innovare il Customer Service e la Customer Experience
Elena Vaciago
 
Il ruolo dell\'ICT per l\'Efficienza Energetica
Il ruolo dell\'ICT per l\'Efficienza EnergeticaIl ruolo dell\'ICT per l\'Efficienza Energetica
Il ruolo dell\'ICT per l\'Efficienza Energetica
Elena Vaciago
 

Mehr von Elena Vaciago (9)

Webinar 18.11.2021 misure_mise_pid_umbria
Webinar 18.11.2021 misure_mise_pid_umbriaWebinar 18.11.2021 misure_mise_pid_umbria
Webinar 18.11.2021 misure_mise_pid_umbria
 
TIGPaper_DevOps_170615 Final
TIGPaper_DevOps_170615 FinalTIGPaper_DevOps_170615 Final
TIGPaper_DevOps_170615 Final
 
TIGPaper - I trend evolutivi dell'Internet of Everything
TIGPaper - I trend evolutivi dell'Internet of EverythingTIGPaper - I trend evolutivi dell'Internet of Everything
TIGPaper - I trend evolutivi dell'Internet of Everything
 
Trend del Mobile Banking (marzo 2014)
Trend del Mobile Banking (marzo 2014)Trend del Mobile Banking (marzo 2014)
Trend del Mobile Banking (marzo 2014)
 
MicroFocus White Paper - ADsurvey_marzo 2014
MicroFocus White Paper - ADsurvey_marzo 2014MicroFocus White Paper - ADsurvey_marzo 2014
MicroFocus White Paper - ADsurvey_marzo 2014
 
TIG White Paper data protection trends
TIG White Paper data protection trendsTIG White Paper data protection trends
TIG White Paper data protection trends
 
TIG White Paper - Innovare il Customer Service e la Customer Experience
TIG White Paper - Innovare il Customer Service e la Customer ExperienceTIG White Paper - Innovare il Customer Service e la Customer Experience
TIG White Paper - Innovare il Customer Service e la Customer Experience
 
TIG White Paper Innovation in Banks_settembre 2013
TIG White Paper Innovation in Banks_settembre 2013TIG White Paper Innovation in Banks_settembre 2013
TIG White Paper Innovation in Banks_settembre 2013
 
Il ruolo dell\'ICT per l\'Efficienza Energetica
Il ruolo dell\'ICT per l\'Efficienza EnergeticaIl ruolo dell\'ICT per l\'Efficienza Energetica
Il ruolo dell\'ICT per l\'Efficienza Energetica
 

TIGPaper_Cybersecurity Trends_ V.1

  • 2. © The Innovation Group - 2015 | 1
  • 3. © The Innovation Group - 2015 | 2 2015 CYBERSECURITY TRENDS&ACTIONS UNA RICERCA DI:
  • 4. © The Innovation Group - 2015 | 3 CYBERSECURITY & RISK MANAGEMENT LEADERSHIP PROGRAM Il presente documento è parte dell’attività di Ricerca di The Innovation Group rivolta agli iscritti a un programma di attività specifico sui temi della Cybersecurity e del Risk Management. Si tratta di un programma di elevato profilo per favorire la diffusione di conoscenza sul tema del controllo e della mitigazione del Rischio Cyber, arricchito dalla partecipazione di Deloitte Italia, in veste di Partner tecnico nello sviluppo dei contenuti, e di un Advisory Board di esperti e di aziende Leader del settore. Gli iscritti al programma possono infatti partecipare a: Workshop e Roundtable dedicate, per entrare in contatto con esperti ed essere aggiornati sugli ultimi trend dell’industria. Webinar: una serie di appuntamenti nel corso del 2015 per essere informati sui temi più attuali del momento. Canale tematico: un sito con news, commenti sulle evoluzioni normative in corso, interviste a CSO, Security e Risk Manager. Ricerche: una selezione di ricerche e studi costantemente aggiornata, oltre che indagini, survey ed approfondimenti prodotti dagli Analisti di mercato di The Innovation Group e dal Partner Tecnico Deloitte Italia. Discussioni: la possibilità di partecipare a dibattiti con gli altri iscritti al programma. Newsletter: per rimanere in contatto ed essere informati sulle attività e i contenuti del programma. Il Cybersecurity e Risk Management Leadership Program ha lo scopo di aiutare le aziende di diversa estrazione, le organizzazioni, i diversi stakeholder della tematica ad individuare i gap della propria situazione e le possibili risposte per il miglioramento del profilo di Cyber Risk, rivolgendosi a coloro che a vario titolo sono coinvolti nelle scelte legate alla sicurezza in azienda. Roberto Masiero Co-Founder The Innovation Group Ezio Viola Co-Founder The Innovation Group
  • 5. © The Innovation Group - 2015 | 4 2015 CYBERSECURITY TRENDS&ACTIONS. COSA DOBBIAMO ASPETTARCI, COME REAGIRE 10 riflessioni per i Professional aziendali impegnati nella gestione dei rischi Cyber E’ proprio il caso di dire che il 2014 si è chiuso “in bellezza” con l’attacco cyber alla Sony Pictures. Presente anche nel discorso di fine anno del Presidente Obama, la vicenda si è poi trascinata per oltre 1 mese. Il 2014 è stato in effetti un anno in cui l’escalation di data breach (a Target, Home Depot, Staples, Michaels, Kmart, Bebe Stores, eBay, il Dipartimento di Public Health e Human Services del Montana) ha segnato un momento di non ritorno. Prendiamolo come punto di riferimento: l’anno in cui tutte le aziende si sono rese conto di essere completamente esposte ai rischi cyber e che l’occorrenza di un incidente di qualche tipo sarebbe stata solo questione di tempo. Questo porta a un diverso atteggiamento: non si tratta tanto di chiedersi quando e come saremo attaccati, ma piuttosto, se saremo in grado di rispondere a un attacco per minimizzarne gli effetti – o quanto saremo veloci nell’identificarne un’intrusione in corso e bloccarla. The Innovation Group – in coincidenza con il lancio del Cybersecurity e Risk Management Leadership Program, un programma rivolto ai manager aziendali ed ai board members sviluppato con il supporto di Deloitte ERS - Cyber Risk Services - attraverso un’attenta attività di ricerca e consolidamento delle evidenze di primari istituti internazionali, integrate con i pareri dei principali esperti del settore, ha identificato i trend più importanti in tema di Cybersecurity di cui si avrà evidenza già a partire dal 2015 e di conseguenza quali saranno le principali azioni su cui le aziende dovranno focalizzarsi. Cosa dobbiamo aspettarci quindi per il 2015 in tema di cybersecurity e gestione dei rischi cyber? TREND 1 - L’ATTIVITÀ DEL CYBER CRIMINALS SARÀ ANCORA PIÙ INTENSA NEL CORSO DEL 2015 DI QUANTO NON SIA STATA FINORA, E SI SPOSTERÀ PROGRESSIVAMENTE VERSO NUOVI OBIETTIVI COME MOBILE, SOCIAL MEDIA, IOT E SERVIZI CLOUD Gli esperti si aspettano incrementi nella sofisticazione e complessità degli attacchi: le minacce diventeranno sempre più efficaci, in tutti gli ambiti ICT, da quelli tradizionali ai nuovi ambienti mobile, cloud, social e IoT. Questo avverrà sia perché gli hacker dispongono di tecnologie allo stato dell’arte (mentre i sistemi attaccati sono basati su software obsoleti, non aggiornati e non protetti) sia perché vantano forme di collaborazione in rete sempre più efficaci. E’ quanto ha dichiarato di recente Steve Durbin, Managing Director dell’Information Security Forum (ISF) in un’intervista con CSO Online 1 . Il Cyber Crime sta crescendo in scala e impatto anche secondo l’indagine iOCTA 1 “5 information security trends that will dominate 2015”, di Thor Olavsrud, CSO Online, 10 dicembre 2014 L’anno in cui tutte le aziende si sono rese conto di essere completamente esposte ai rischi cyber e che l’occorrenza di un incidente di qualche tipo sarebbe stata solo questione di tempo
  • 6. © The Innovation Group - 2015 | 5 2014 dell’Europol EC3 2 , secondo cui l’Europa rimarrà nei prossimi anni un target delle organizzazioni criminali. Queste, per lo più basate in Stati non EU e in grado di acquisire tutti gli skill tecnici che servono on demand, oltre che di sfruttare per i propri fini caratteristiche di Internet (come l’anonimato, la crittografia, le monete virtuali), stanno creando non poche difficoltà alle forze dell’ordine. Figura 1. I trend della Cybersecurity Fonte: The Innovation Group, 2015 L’evoluzione delle minacce richiede alle organizzazioni di dotarsi di nuove capabilities. A causa della crescente consumerizzazione dell’IT, un’attenzione particolare sarà rivolta dagli hacker ai device mobile, che presentano un punto di ingresso particolarmente facile da sfruttare per accedere a password, dati personali di identificazione, account. In aggiunta la proliferazione delle stesse mobile App, molte delle quali possono essere utilizzate come veicolo di mobile malware, rende ancora più complesso l’impostazione di standard di sicurezza. Inoltre (come ha dichiarato il vendor di Security McAfee) è probabile che il ransomware (gli attacchi che chiedono un riscatto economico per restituire l’accesso a device e servizi) sarà rivolto sempre di più a servizi e dati posizionati nel Cloud. Un’ulteriore evoluzione è quella che vedrà gli attacchi di phishing passare dalla posta elettronica agli ambienti Social. ll tema dell’IoT si presenta già oggi come la nuova frontiera del cyber crime. Gartner prevede 4,9 miliardi di oggetti connessi a Internet per il 2015, in crescita del 30% rispetto al 2014: un fenomeno che porta con sé enormi opportunità ma presenta anche rischi del tutto nuovi e non ancora conosciuti. TREND 2 - LE NORME PER IL CONTRASTO AL CYBER CRIME A CUI LE AZIENDE DOVRANNO UNIFORMARSI SARANNO PIÙ NUMEROSE E STRINGENTI Le nuove norme andranno a toccare aspetti come la capacità delle aziende di “armarsi” in modo conveniente, rafforzare le attività di incident response oltre che di computer 2 2014 iOCTA (Internet Organised Crime Threat Assessment), di Europol - EC3 (European Cybercrime Centre), settembre 2014 L’evoluzione delle minacce richiede alle organizzazioni di dotarsi di nuove capabilities
  • 7. © The Innovation Group - 2015 | 6 forensic e di data protection. Ad esempio, di recente il Presidente Obama ha anticipato nuove proposte di legge secondo cui tutte le aziende dovranno in futuro – in caso di data breach – allertare i clienti del furto dei dati entro 30 giorni. Sempre negli USA un rappresentante democratico del Congresso, Elijah Cummings, ha richiesto alla Sony informazioni dettagliate sui data breach subiti e sulle misure di cybersecurity implementate finora, in quanto queste informazioni possono servire al Congresso per decidere quali nuove leggi saranno necessarie per proteggere al meglio le aziende USA. "The increasing number and sophistication of cyber attacks on both public and private entities pose a clear and present danger to our national security and highlight the urgent need for greater collaboration to improve data security," ha scritto Cummings 3 a Michael Lynton, CEO di Sony Pictures. Cummings chiede alla Sony di fornire oltre alla descrizione di tutti gli attacchi subiti nell’ultimo anno (con il dettaglio dei dipendenti e clienti danneggiati) anche un’analisi forensica dei data breach e ogni chiarimento possibile sul malware utilizzato dagli hacker. Sul fronte dell’Incident Response, le aziende saranno spinte a diventare più efficaci nei propri piani di reazione, e questo amplierà il ricorso all’automazione delle attività da svolgere in caso di incidente. Ci si dovrà aspettare nuove norme con requisiti sul fronte della Digital Forensic, che permette, in caso di incidente, di risalire più facilmente alla comprensione di cosa è successo, come e chi è stato, come attrezzarsi per prevenire il ripetersi dell’accaduto in futuro. L’impegno degli esperti di cybersecurity dovrà essere sempre di più sul fronte del controllo e dell’arresto di attività fraudolente (il più velocemente possibile appena vengono scoperte) ma anche sugli aspetti di investigazione, in modo da comprendere cosa è avvenuto e perché, ossia quali sono state le motivazioni che hanno spinto gli hacker. Figura 2. Elementi che impattano sulla soluzione di Cybersecurity Fonte: The Innovation Group, 2015 3 “US lawmaker asks Sony for details on data breach” di Grant Gross, IDG News Service, 23 dicembre 2014
  • 8. © The Innovation Group - 2015 | 7 Sul fronte della Privacy, le nuove norme porteranno le aziende a una maggiore consapevolezza del valore di un corretto approccio nella protezione dei dati personali. La perdita di dati personali relativi a clienti, dipendenti, partner, è oggi per le aziende sia un problema di non-compliance, sia anche un business risk perché comporta forti impatti sul fronte della reputazione del brand, oltre che possibili azioni legali e quindi perdite economiche. In Europa è prevedibile che ci sarà un avanzamento su questo fronte, con l’avvio della Data Protection Reform, che garantirà una maggiore uniformità delle norme relative alla Privacy nei Paesi membri oltre che richiedere nuove misure (come la designazione di un Data Protection Officer e il set up di processi di cyber risk assessment e data breach notification, di privacy by default e di secure processing). Secondo Forrester Research in futuro avere una corretta gestione della Privacy sarà un elemento di differenziazione competitivo – l’importante è che la Privacy sia correttamente diffusa attraverso tutta l’organizzazione oltre che nell’erogazione di servizi e prodotti ai clienti. TREND 3 - LA DIFFUSIONE DI BYOD E INSIDER THREATS SPINGERANNO LE AZIENDE A FOCALIZZARSI MAGGIORMENTE SUL CONTROLLO DEI DIPENDENTI O DI TERZE PARTI Il termine BYOD (Bring Your Own Device) descrive la politica scelta da un’azienda che permette ai propri dipendenti di utilizzare i propri device personali (in particolare Smartphone e Tablet) per accedere a risorse aziendali come applicazioni e dati - sul posto di lavoro o da remoto, in mobilità, da casa. La grande diffusione di smartphone e tablet a livello consumer ha portato infatti le persone ad utilizzarli parzialmente anche per aspetti lavorativi, con una commistione di utilizzi che comporta notevoli rischi per le aziende. Oggi l’utilizzo dei device Mobile personali anche per scopi lavorativi è in effetti una realtà, che spesso sfugge al controllo della stessa IT aziendale. Non sempre però le aziende sono consapevoli dei rischi che questo fenomeno comporta, e ancora meno hanno predisposto policy e misure per contenere le possibili perdite di dati o possibili infiltrazioni di malware da Mobile personale. L’interesse per l’attuazione di un programma BYOD è in crescita, come registrano anche le survey a livello internazionale: Forrester Research ha stimato nel 2013 che se un 70% circa delle organizzazioni ha intenzione di investire per la sicurezza dei dispositivi Mobile, un 46% prevede anche di implementare un programma BYOD. Un secondo tema rilevante è quello degli Insider Threats, ossia delle minacce originate dall’interno (contando non solo i dipendenti ma anche le terze parti). Si parla spesso di Cyber Risk con l’errata concezione che sia tutto solo dovuto ad attaccanti esterni, mentre ci sono evidenze importanti che i principali attacchi hanno tutti avuto insider per essere perpetrati. TREND 4 - ASSISTEREMO ALLA NASCITA DI NUOVI MECCANISMI DI DIFESA (COME QUELLI DI “ACTIVE DEFENSE” E “MALWARE TRAP”) E, IN ALCUNI CASI, ANCHE A FORME DI CONTRATTACCO DIGITALE CONTRO LE AZIONI DEGLI HACKER Nota positiva, le aziende stanno cominciando a sviluppare nuovi approcci per ingannare i cyber criminal e attirarli verso “malware trap” - complete di server e software fasullo – Oggi l’utilizzo dei device Mobile personali anche per scopi lavorativi è in effetti una realtà, che spesso sfugge al controllo della stessa IT aziendale
  • 9. © The Innovation Group - 2015 | 8 per analizzare i comportamenti degli attaccanti, individuarli e prevenire altre azioni malevole. Un esempio di questo è quanto proposto dalla start-up israeliana TrapX, che già oggi conta clienti USA nei settori finanziario e retail. Altre società che stanno lavorando sul concetto delle malware trap sono l’israeliana GuardiCore e Juniper Networks 4 . Di recente poi su Bloomberg è apparsa la notizia che l’FBI starebbe investigando alcune grandi corporation americane accusate di essersi spinte oltre quanto permesso dalla legge nella caccia e contrattacco agli hacker. Banche, retailers, società energetiche avrebbero cercato di entrare nelle reti di gruppi di cyber attaccanti per riottenere dati o anche per disattivare i server da cui avevano avuto origine gli attacchi – ad esempio alcuni server posizionati in Iran e considerati responsabili di vari attacchi nel 2013. Insomma, una sorta di Wild West digitale 5 . Da questi trend generali si deducono quindi quali saranno le principali azioni (ACTION) su cui le aziende dovranno focalizzarsi nel corso del prossimo anno. ACTION 1 - CON LA CONTINUA CRESCITA DEI RISCHI IT, LE ORGANIZZAZIONI DOVRANNO PUNTARE A DARSI DELLE PRIORITÀ E AD INVESTIRE SU SERVIZI DI THREAT INTELLIGENCE PER ADOTTARE APPROCCI PROATTIVI Le aziende dovranno nel 2015 focalizzarsi maggiormente sulle proprie aree di rischio Cyber, e nel dipartimento di IT Security puntare ad assegnare la giusta priorità ai diversi task. Inoltre, dovranno puntare ad avere un approccio “intelligence-led” integrando il più possibile attività di Threat Intelligence (anche fornite dall’esterno, da player specializzati) per essere in grado di individuare e comprendere nel minor tempo possibile le principali minacce per la propria realtà. Figura 3. Approccio Risk-Based nel Framework proposto dal NIST Fonte: Framework for Improving Critical Infrastructure Cybersecurity National Institute of Standards and Technology, February 12, 2014 4 “Cyber security groups use fake computers to trap hackers”, di Hannah Kuchler, The Financial Times, 1 gennaio 2015 5 “FBI Investigating Whether Companies Are Engaged in Revenge Hacking” di Michael Riley e Jordan Robertson, 30 dicembre 2014, Bloomberg
  • 10. © The Innovation Group - 2015 | 9 Già oggi, nello sforzo di prevenire l’esposizione alle nuove minacce del cyber crime le organizzazioni di IT Security sono oberate da attività di update, patching, vulnerability assessment, manutenzione degli apparati di security, threat management. Solo considerando il patching, la continua scoperta di vulnerabilità (comprese quelle emerse con Heartbleed e Shellshock) ha obbligato lo scorso anno i Security team a caricarsi di nuove incombenze. In queste situazioni, è fondamentale imporsi una lista di priorità – in modo da affrontare prima le criticità più importanti per la difesa dell’azienda – ragionando quindi in ottica di Risk Management e puntando a identificare, nella grande mole di informazioni disponibili, quelle effettivamente critiche per l’organizzazione. ACTION 2 - FAR EVOLVERE L’ATTUALE ARCHITETTURA PER LA CYBERSECURITY TENENDO CONTO DELLE NUOVE SFIDE E DELLA NECESSITÀ DI CONCENTRARE MAGGIORMENTE ATTIVITÀ E PROCESSI SUGLI ASSET DI MAGGIOR VALORE PER IL BUSINESS Con riferimento al disegno dell’architettura di cybersecurity, questa dovrà tener conto dell’impatto dovuto all’evoluzione delle minacce verso le nuove superfici d’attacco (BYOD, Cloud, IoT, Virtual server). Le aziende dovranno rafforzare il controllo e la visibilità sia sul network interno sia sugli endpoint, estendere il perimetro della protezione ai nuovi ambienti vulnerabili, focalizzarsi maggiormente che non in passato sugli aspetti della data security, ad esempio con tecniche selettive di encryption, e sull’identity e access management, per rafforzare il controllo delle identità e degli accessi. Non vanno sottovalutati inoltre gli aspetti di detection e response, perchè come dimostrano i casi costantemente commentati nei Media, molto spesso pur essendo in corso un attacco, le aziende non se ne sono rese conto. ACTION 3 - NEL 2015 IL BOARD DELLE AZIENDE – SAPENDO DI DOVER RISPONDERE PIÙ CHE NON IN PASSATO ALLA POSSIBILI CONSEGUENZE NEGATIVE DI GRAVI ATTACCHI CYBER - DOVRÀ VALUTARE CON PRECISIONE QUAL È L’ESPOSIZIONE DELLA PROPRIA AZIENDA A QUESTO RISCHIO Secondo Forrester Research, nel 2015, come conseguenza di maggiori investimenti nella rilevazione di data breach, la maggior parte delle aziende (il 60%) scoprirà di essere stata presa di mira da qualche hacker. Se non lo scoprirà da sola, sarà avvisata da agenzie governative, esperti di sicurezza o dagli stessi clienti. In molti casi però le aziende non saranno veloci nel fornire una corretta risposta. Il Management delle aziende comincerà a interrogare in modo pressante il CSO o il Security Manager (dove queste figure esistono) per essere rassicurato sulle capacità di difesa messe in atto. Spesso però, come mostrano le esperienze di data breach di grande impatto pur in presenza di budget di security di svariati milioni di dollari, non c’è una risposta precisa alla richiesta del Board. Gli executive delle aziende non parlano il linguaggio tecnico dei responsabili della Security, per cui non c’è modo per il Board di verificare se sono state intraprese le azioni veramente importanti per la salvaguardia degli asset fondamentali dell’azienda, e che nel caso di incidenti, se sono state minimizzate le conseguenze per l’azienda. Per risolvere questo problema è necessario
  • 11. © The Innovation Group - 2015 | 10 ripensare le attività legate alla cybersecurity perché siano efficacemente calibrate sulle richieste del Business. “You need a security officer who is bilingual, who can convert the technology into the business language and present it with business metrics so the executives can make the right decisions about security moving forward” ha affermato Eric Cole, membro del SANS Cyber Defense Program, in un recente articolo su CSO Online 6 . Si noterà sempre di più che esiste una disconnessione tra le priorità aziendali in tema di mitigazione dei rischi cyber e le leve effettive (in altri termini, il budget per la cybersecurity) in essere. Come mostra un’indagine condotta nel 2014 da Deloitte in collaborazione con NASCIO (National Association of State Chief Information Officer) 7 , nonostante ci sia stata una crescita degli investimenti per la cybersecurity negli ultimi anni, il budget continua a essere considerato insufficiente dai CISO. Il problema è che il budget andrebbe maggiormente collegato a indicatori che ne misurino l’efficacia, metriche e benchmark per dimostrare le performance del programma di cybersecurity ai Board members. Solo lavorando maggiormente allo sviluppo di queste metriche i CISO possono arrivare a definire qual è la propria “cybersecurity posture”. Per arrivare a queste misure di efficacia sarebbe anche utile aver misurato l’impatto economico di eventuali attacchi e data breaches. ACTION 4 - BISOGNA PRESTARE MAGGIORE ATTENZIONE IN FUTURO AI RISCHI ORIGINATI NON SOLTANTO ALL’INTERNO DELL’ORGANIZZAZIONE MA NELL’“AZIENDA ESTESA” – CONSIDERANDO CON QUESTA LA SUPPLY CHAIN E I COLLEGAMENTI CON CLIENTI/TERZE PARTI Nell’economia globale i legami con le terze parti della Supply Chain o delle vendite (canale, distributori) sono sempre più vitali per le aziende, ma i Security manager cominciano ad essere seriamente preoccupati della possibilità di perdere il controllo diretto sui dati. Inoltre, come mostrato di recente dal caso Target, le stesse connessioni di rete con i fornitori possono diventare veicolo per attacchi cyber. Una soluzione può essere quella di far lavorare a più stretto contatto i responsabili dell’IT Security con chi si occupa di formalizzare i contratti con le terze parti. Lo stesso discorso vale anche per i piani di Business Continuity, che devono tener conto del possibile impatto negativo di incidenti sia generati da player della Supply Chain, sia dalla stessa azienda, con ripercussioni negative verso le terze parti, danno d’immagine e possibili contenziosi legali per i danni arrecati. Anche nei confronti dei provider di servizi e prodotti tecnologici, nuove misure saranno volte a garantire che hardware e software siano intrinsecamente sicuri. In particolare, nella selezione e acquisto di software, saranno sempre più spesso richiesti test da parte di società indipendenti specializzate sulla sicurezza e qualità del software 8 . 6 “5 lessons to help security pros craft a New Year’s resolution” di Eric Cole, CSO Online, 22 dicembre 2014 7 “2014 Deloitte – NASCIO Cybersecurity Study”, di Deloitte & Touche e NASCIO, 2014 8 “Taking IT Security's Pulse: What to Expect in 2015”, di Torsten George, SecurityWeek, 22 dicembre 2014
  • 12. © The Innovation Group - 2015 | 11 ACTION 5 - SI DEVE DARE MAGGIORE IMPORTANZA AL TEMA DELLA SECURITY AWARENESS E DELL’EDUCATION DELLE PERSONE, O DELLA DEFINIZIONE DI PROCEDURE SPECIFICHE PER EVITARE ERRORI GROSSOLANI Molti degli attacchi visti nel corso del 2014 erano basati su tecniche piuttosto elementari di social engineering che avrebbero potuto essere controllate con una maggiore formazione e quindi security awareness rivolta agli utenti finali. In futuro tutti saranno sensibilizzati sulla necessità di adottare comportamenti più responsabili ed essere in grado di comprendere quando mail malevole di phishing inducono le persone a rilasciare le proprie credenziali su siti web fake o scaricare malware (tipicamente Trojan). Non che molto non sia già stato fatto: soprattutto nelle grandi organizzazioni e in settori critici come il mondo finanziario i programmi di formazione sulla sicurezza non sono mancati. Probabilmente però l’approccio non è stato quello giusto: non si tratta di vendere la sicurezza come un obbligo, ma piuttosto di renderla parte integrante, “valore” dei processi di business. Dovrebbero quindi essere premiati i comportamenti delle persone che aiutano a ridurre il rischio complessivo per il business. ACTION 6 - BISOGNA PUNTARE A MAGGIORE COLLABORAZIONE E SCAMBIO DI INFORMAZIONI PER SVILUPPARE MISURE DI DIFESA COLLETTIVE NEL MODO PIÙ ORGANIZZATO ED EFFICACE Gli hacker, come noto, collaborano attivamente nell’Internet underground, si scambiano informazioni sulle tecniche di attacco, inviano contemporaneamente centinaia di milioni di mail di spam da botnet malevole che coinvolgono computer disseminati nel mondo, orchestrano attacchi APT che prendono di mira centinaia di migliaia di organizzazioni e si protraggono per anni. Lo stesso tipo di collaborazione e “intelligenza distribuita” non avviene però sull’altro fronte, quello della difesa (o contrattacco). Solo in pochi settori sono stati attivati scambi di informazioni sugli attacchi in corso e sulle contromisure più efficaci. Il caso più spesso citato è quello del mondo bancario – negli USA il Financial Services Information Sharing and Analysis Center (FS ISAC) è infatti attivo dal 1999. L’Information Sharing diventerà quindi un obiettivo nelle politiche di Cybersecurity del 2015. Secondo Gartner sarà necessario in futuro orientarsi su un linguaggio come, come lo STIX (Structured Threat Information eXpression language), anche per far fronte alla complessità di gestione e integrazione di dati sulla sicurezza provenienti dal mondo IoT. A queste attività dovranno naturalmente collaborare attivamente agenzie pubbliche, attraverso lo sviluppo di standard e protocolli di comunicazione, oltre che mettendo a disposizione delle aziende propri servizi di CERT (Computer Emergency Response Team). Da parte degli Stati, sarà anche necessario, contestualmente a nuove regolamentazioni per incrementare l’attenzione delle aziende, definire pene più severe per contrastare il cyber crime.
  • 13. © The Innovation Group - 2015 | 12 Hanno collaborato alla realizzazione dello Studio: Elena Vaciago, Research Manager, The Innovation Group Stefano Buschi, Cyber Risk Services Leader e Partner, Deloitte The Innovation Group (TIG) è una società di servizi di consulenza direzionale, advisory e ricerca indipendente fondata da Roberto Masiero ed Ezio Viola, specializzata nella innovazione del Business e dei processi aziendali attraverso l’utilizzo delle tecnologie digitali e delle nuove tecnologie della conoscenza. Si rivolge ad Aziende ed Organizzazioni che desiderano sviluppare strategie di crescita attraverso programmi, iniziative e progetti di innovazione del Business, di “go to market”, di produzione e gestione integrata della conoscenza interna ed esterna dell’azienda tramite le tecnologie ICT. The Innovation Group è formato da un Team con esperienze consolidate, sia a livello locale sia internazionale, si avvale del contributo di partnership strategiche con Aziende e Istituti internazionali che garantiscono un forte e continuo sviluppo di ricerca e di conoscenza dei mercati, delle tecnologie e delle migliori pratiche nei principali settori verticali. Alle Aziende e alle Organizzazioni The Innovation Group si propone con un approccio pragmatico, volto ad affiancarle ed accompagnarle nella fase di realizzazione di piani strategici, per valorizzare le risorse e le capacità esistenti all’interno e prendere le decisioni più utili in tempi rapidi. The Innovation Group si avvale di forti partnership internazionali per la ricerca e la conoscenza di mercati, tecnologie e best practice. Tutte le informazioni/i contenuti presenti sono di proprietà esclusiva di The Innovation Group (TIG) e sono da riferirsi al momento della pubblicazione. Nessuna informazione o parte del report può essere copiata, modificata, ripubblicata, caricata, trasmessa, postata o distribuita in alcuna forma senza un permesso scritto da parte di TIG. L’uso non autorizzato delle informazioni / i contenuti della presente pubblicazione viola il copyright e comporta penalità per chi lo commette. Copyright © 2015 The Innovation Group.
  • 14. © The Innovation Group - 2015 | 13