Passa al contenuto

Cyber Security Survey

Cyber Security Survey 2018

Vi ringraziamo di partecipare a questa inchiesta sulla sicurezza cibernetica.
Si tratta di un sondaggio condotto e gestito dalla Camera di commercio, dell'industria, dell'artigianato e dei servizi del Cantone Ticino (Cc-Ti), in stretta collaborazione con InTheCyber Group, il Servizio informatica forense SUPSI e con il patrocinio del Dipartimento delle Istituzioni del Cantone Ticino.
Lo scopo è la raccolta e la condivisione sul territorio di informazioni sui rischi cyber e sulle attività di "detection & response" che riguardano la gestione delle minacce cibernetiche.
Informazioni generali:
1.Indirizzo
2.Settore d'attività: (Obbligatorio)
3.Numero di dipendenti: (Obbligatorio)
4.Nome e Cognome:
5.Ruolo in azienda(Obbligatorio)
Lo scenario e le minacce
6.Quali sono stati i principali tentativi di attacco rilevati nel 2017 e nella prima metà del 2018?(Obbligatorio)
7.Quali sono i vettori di infezioni o di attacco e quali in prospettiva lo saranno secondo il proprio business aziendale?
L'organizzazione interna
8.Attualmente come è organizzata la vostra azienda per la governance e la gestione della Cyber Security?
9.In funzione delle risposte fornite alla domanda precedente, indicare se l’ufficio/dipartimento/ team di risorse ha autonomia di budget oppure svolge solamente funzioni di governance/indirizzo/gestione operativa/attività
10.Può indicarci il numero di risorse dedicate alla Cyber Security? Includere risorse coinvolte in attività di governance, compliance, monitoraggio e gestione:

Nel 2017
11.Nel 2018
12.Nel 2019 (previsione)
13.Ritiene la vostra struttura ed il modello organizzativo adottato adeguato a gestire le sfide attuali e future in termini di Cyber Security?
14.(Se poco o per nulla a domanda precedente) Quali sono le principali motivazioni?
15.Prevedete un incremento delle risorse dedicate alla Cyber Security nel 2018 o nel 2019?
16.Quali sono gli ambiti su cui si pensa di incrementare gli skills/competenze?
17.È presente presso la vostra azienda un Security Operation Center?
18.Se sì, indicare per ogni servizio se è svolto solo internamente, sia internamente sia esternamente, solo esternamente. Se non presente lasciare in bianco.
SOC interno
SOC interno ed esterno
SOC esterno
Servizi di Monitoraggio: l'infrastruttura IT e di sicurezza vengono monitorate in tempo reale al fine di individuare tempestivamente tentativi di intrusione o di attacco dei sistemi
Servizi di Gestione: attività di gestione delle funzionalità di sicurezza legate all'infrastruttura IT, come rete, sistemi ed applicazioni
Servizi Proattivi: servizi finalizzati a migliorare il livello di protezione dell'organizzazione (security/vulnerability assessments, early warning, security awareness, threat intelligence/hunting)
SOC non presente ma previsto
SOC non presente e non previsto
19.Disponete di un team di threat intelligence?
20.Quali ambiti sono oggetto delle attività di threat intelligence?
21.Per la Cyber Security Governance utilizzate degli standard o dei modelli di riferimento? Su quali siete certificati?
IL SISTEMA DI DIFESA E DETECTION
22.Come giudica il grado di copertura degli asset e degli ambienti critici della vostra azienda relativamente a: 

Controllo degli accessi a sistemi ed applicazioni
Nessuno
Alcune
Gran parte
Tutte
Accesso semplificato username/password
Accesso avanzato strong authentication
Sistema automatizzato per il governo dei diritti di accesso (IAM)
Soluzioni di controllo delle attività degli amministratori e degli utenti privilegiati (PAM)
Soluzioni di tracciatura
23.Come giudica il grado di copertura degli asset e degli ambienti critici della vostra azienda relativamente a: 

Controllo delle reti e delle telecomunicazioni
Nessuno
Alcune
Gran parte
Tutte
Segmentazione della rete locale
Controllo del canale di comunicazione pubblico internet
Controllo delle terminazioni di rete extranet (MPLS o simili)
Controllo degli accessi remoti di dipendenti e fornitori
Controllo degli accessi alla rete WiFi
Controllo sulla presenza di dispositivi non autorizzati (NAC e rogue device detection)
Soluzioni di antiDOS (volumetrico)
24.Come giudica il grado di copertura degli asset e degli ambienti critici della vostra azienda relativamente a: 

Controllo della sicurezza dei sistemi
Nessuno
Alcune
Gran parte
Tutte
Soluzioni di compliance (es. politiche di sicurezza aziendali)
Politiche di patching
Politiche di hardening
Soluzioni di software inventory (rilevazione software non autorizzati)
Soluzioni di configuration management (rilevazione violazione delle policy di configurazione)
Vulnerability assessment
Sistemi di tracciatura
Sistemi di logging
Sistemi di correlazione degli eventi
25.Come giudica il grado di copertura degli asset e degli ambienti critici della vostra azienda relativamente a: 

Protezione dei dati
Nessuno
Alcune
Gran parte
Tutte
Accesso semplificato username/password
Accesso avanzato strong authentication
Sistema automatizzato per il governo dei diritti di accesso (IAM)
Soluzioni di controllo delle attività degli amministratori e degli utenti privilegiati (PAM)
Soluzioni di tracciatura
26.Come giudica il grado di copertura degli asset e degli ambienti critici della vostra azienda relativamente a: 

Protezione da malware ed APT
Nessuno
Alcune
Gran parte
Tutte
Protezione server Open
Protezione sistemi Legacy
Soluzioni di network behaviour analytics
Protezione della navigazione internet degli utenti
Protezione della posta elettronica
Soluzioni di system behaviour analytics (sandbox e similari)
27.Come giudica il grado di copertura degli asset e degli ambienti critici della vostra azienda relativamente a: 

Controlli sulla sicurezza del software
Nessuno
Alcune
Gran parte
Tutte
Soluzione di protezione dei repository dei sorgenti
Soluzione di controllo statico della sicurezza del codice
Soluzione di controllo dinamico della sicurezza delle applicazioni
28.Come giudica il grado di copertura degli asset e degli ambienti critici della vostra azienda relativamente a: 

Controlli periodici del livello di affidabilità delle protezioni
Nessuno
Alcune
Gran parte
Tutte
Security Audit da parte di enti terzi
Penetration test da parte di enti terzi
29.Come giudica il grado di copertura degli asset e degli ambienti critici della vostra azienda relativamente a: 

Architetture di continuità di servizio
Nessuno
Alcune
Gran parte
Tutte
Soluzione di Backup
Soluzione di Disaster Recovery
Soluzione di Business Continuity
30.Disponete di capacità di cyber intelligence?
31.Le vulnerabilità rilevate dalla funzione di Cyber Security sono valutate per mezzo di un approccio Risk based?
32.Indicare rispetto a quali minacce è svolto l’approccio risk based
33.Avete adottato o state valutando di utilizzare soluzioni machine learning based, in grado di analizzare e correlare più fonti ed ambienti, ed incrementare il livello di Cyber Security?
34.Nello sviluppo di software avete adottato modelli nell’ottica Security-by-Design (approccio ai controlli di sicurezza che formalizza la progettazione, pianifica i controlli di sicurezza e ottimizza l'auditing)?
35.(Solo per alcuni settori) Nell’adozione di dispositivi IoT/connessi richiedete ai fornitori modelli di sviluppo nell’ottica Security-by-Design?
36.Quali ambienti sono oggetto delle attività di penetration testing e vulnerability assessment?
37.Siete in grado di tracciare un incidente informatico subito?
38.Nel caso in cui l’attacco abbia avuto effetto, come è stato gestito?
39.In che modo valutate e monitorate la reale capacità di identificazione di un attacco ricevuto dalla vostra azienda e la relativa capacità di reazione?
40.Avete adottato una copertura assicurativa per proteggere la vostra realtà dai rischi informatici connessi?
41.Quali strumenti/procedure avete adottato per aumentare la consapevolezza di dipendenti e collaboratori per limitare l’impatto di eventuali attacchi informatici?
FOCUS CLOUD SECURITY
42.Quale è attualmente il ruolo del cloud nella vostra Organizzazione?
43.Quali servizi Cloud utilizzate?
44.Avete effettuato un assessment specifico volto a rilevare la presenza di soluzioni Cloud non “approvate” dalla funzione IT ma utilizzate da dipendenti/linee di business (cosiddetto Shadow cloud)?
45.Quali soluzioni as a service avete adottato per proteggere le applicazioni in Cloud?
46.Quali ambienti sono coperti dalle soluzioni di Cloud security adottate?
47.Le soluzioni di Cloud security per la gestione delle identità sono utilizzate anche per proteggere ambienti on premise e/o device?
FOCUS GDPR
48.Quale delle seguenti iniziative volte alla conformità ai regolamenti GDPR hanno richiesto il maggior effort?
49.Quali sono state le maggiori criticità affrontate nel conformare la vostra Organizzazione ai regolamenti del GDPR dell’UE?
50.Avete adottato un modello di data governance, che comprenda i temi di privacy e protezione e che sia supportato da tecnologie e processi per il monitoraggio e la gestione delle violazioni di policy e privacy?
51.Avete adottato un modello di Risk Management che tenga conto dei rischi privacy, in grado di individuarli e categorizzarli in funzione di priorità?
52.In relazione alla fase di Identificazione e classificazione dei dati, in quale situazione siete relativamente alle seguenti attività?
Attività terminata
Attività prossima al completamento
Parzialmente svolta
Allo stato iniziale
Identificazione dei sistemi dove i dati personali sono memorizzati (server, computer personali, spazi cloud, anche detenuti da terze parti)
Classificazione della tipologia dei dati trattati (personali, sensibili, giuridici ecc.)
Inventario di sistemi e applicazioni
53.In relazione alle Procedure, in quale situazione siete relativamente alle seguenti attività?
Attività terminata
Attività prossima al completamento
Parzialmente svolta
Allo stato iniziale
Capacità di interrompere un trattamento dati su richiesta dell’interessato e fornire informazioni puntuali nel caso questo non sia possibile
Predisposizione di un canale che renda semplici le comunicazioni da e per gli interessati (tracking delle richieste, incluse quelle di rettifica e cancellazione dei dati)
Rilevazione dei trasferimenti di dati personali verso fornitori e terze parti
54.In relazione alla fase di Protezione, in quale situazione siete relativamente alle seguenti attività?
Attività terminata
Attività prossima al completamento
Parzialmente svolta
Allo stato iniziale
Adozione di criteri di data protection by design and default nello sviluppo di processi, prodotti e tecnologie
Adozione di tecnologie di crittografia per proteggere dati personali gestiti
Creazione di una mappa che riporti chiaramente il livello di ogni area di Cyber Security della organizzazione
55.Sono state stabilite procedure di auditing riguardo a regolamenti GDPR sui fornitori e terze parti (es: outsourcer, cloud provider) coinvolti nella gestione dei dati?
IL BUDGET CYBER SECURITY
56.Il budget per la sicurezza informatica viene previsto separatamente o all’interno del budget IT complessivo?
57.(Escludendo i costi del personale interno) Quale sarà nel 2018 e nel 2019 la spesa in Sicurezza informatica della vostra azienda/Ente? (valore assoluto che include hardware, software e servizi di governance, compliance, monitoraggio e gestione, escludendo i costi del personale interno)
58.Se non indica valore assoluto - (escludendo i costi del personale interno) Che incidenza ha sulla spesa ICT della vostra azienda la spesa in Sicurezza nel 2018 e nel 2019?
59.(escludendo i costi del personale interno) Quale andamento avrà nel 2019 (se confrontata con quella 2018) la spesa in sicurezza informatica della vostra azienda/ente?
LE SFIDE E LE PRIORITÀ
60.Quali sfide dovete affrontare attualmente nel gestire la sicurezza nei progetti di digitalizzazione (es. Mobile, IoT, API e Cloud)?Quali sfide dovete affrontare attualmente nel gestire la sicurezza nei progetti di digitalizzazione (es. Mobile, IoT, API e Cloud)?
61.Quali sono le priorità che guidano la vostra strategia in ambito Cyber Security nel 2018-2019?
62.Quali sono gli ambiti di investimento in Cyber Security previsti nel 2018-2019?
63.(Se Cloud Security a domanda precedente) Quali sono gli ambiti di investimento specifico in Cloud Security previsti nel 2018-2019?
64.Quali sono i principali sponsor/influencer che guideranno gli investimenti di Cyber Security previsti nel 2018-2019?
65.Partecipate a programmi/progetti volti a condividere le minacce informatiche (subite) con altri soggetti?
66.Se sì:
67.Se no, ma è previsto nel corso del 2018-2019
I fornitori
68.Quanto ritenete pronti i fornitori ICT nel supportarvi all’interno di questo nuovo contesto di Cyber Security?
69.Quanto ritenete che le diverse tipologie di fornitori possano rispondere alle esigenze in ambito Cyber Security? 

Start-up innovative
70.Fornitori ICT focalizzati su specifiche aree/tecnologie
71.c) Società di consulenza specializzate in Cyber Security
72.Global vendor ICT
73.Player di piattaforma specializzati (IoT security, Cloud Security…)
74.Società di consulenza strategica
75.System Integrator
76.Società in-house (solo per PA e Sanità)
77.Quanto ritenete siano pronti i fornitori di dispositivi e componenti (SCADA, dispositivi medicali, oggetti connessi) nel supportarvi all’interno di questo nuovo contesto di Cyber Security?