Cyber Security Survey 2018

Vi ringraziamo di partecipare a questa inchiesta sulla sicurezza cibernetica.
Si tratta di un sondaggio condotto e gestito dalla Camera di commercio, dell'industria, dell'artigianato e dei servizi del Cantone Ticino (Cc-Ti), in stretta collaborazione con InTheCyber Group, il Servizio informatica forense SUPSI e con il patrocinio del Dipartimento delle Istituzioni del Cantone Ticino.
Lo scopo è la raccolta e la condivisione sul territorio di informazioni sui rischi cyber e sulle attività di "detection & response" che riguardano la gestione delle minacce cibernetiche.
Informazioni generali:

Question Title

* 1. Indirizzo

Question Title

* 2. Settore d'attività: 

Question Title

* 3. Numero di dipendenti: 

Question Title

* 4. Nome e Cognome:

Question Title

* 5. Ruolo in azienda

Lo scenario e le minacce

Question Title

* 6. Quali sono stati i principali tentativi di attacco rilevati nel 2017 e nella prima metà del 2018?

Question Title

* 7. Quali sono i vettori di infezioni o di attacco e quali in prospettiva lo saranno secondo il proprio business aziendale?

L'organizzazione interna

Question Title

* 8. Attualmente come è organizzata la vostra azienda per la governance e la gestione della Cyber Security?

Question Title

* 9. In funzione delle risposte fornite alla domanda precedente, indicare se l’ufficio/dipartimento/ team di risorse ha autonomia di budget oppure svolge solamente funzioni di governance/indirizzo/gestione operativa/attività

Question Title

* 10. Può indicarci il numero di risorse dedicate alla Cyber Security? Includere risorse coinvolte in attività di governance, compliance, monitoraggio e gestione:

Nel 2017

Question Title

* 11. Nel 2018

Question Title

* 12. Nel 2019 (previsione)

Question Title

* 13. Ritiene la vostra struttura ed il modello organizzativo adottato adeguato a gestire le sfide attuali e future in termini di Cyber Security?

Question Title

* 14. (Se poco o per nulla a domanda precedente) Quali sono le principali motivazioni?

Question Title

* 15. Prevedete un incremento delle risorse dedicate alla Cyber Security nel 2018 o nel 2019?

Question Title

* 16. Quali sono gli ambiti su cui si pensa di incrementare gli skills/competenze?

Question Title

* 17. È presente presso la vostra azienda un Security Operation Center?

Question Title

* 18. Se sì, indicare per ogni servizio se è svolto solo internamente, sia internamente sia esternamente, solo esternamente. Se non presente lasciare in bianco.

  SOC interno SOC interno ed esterno SOC esterno
Servizi di Monitoraggio: l'infrastruttura IT e di sicurezza vengono monitorate in tempo reale al fine di individuare tempestivamente tentativi di intrusione o di attacco dei sistemi
Servizi di Gestione: attività di gestione delle funzionalità di sicurezza legate all'infrastruttura IT, come rete, sistemi ed applicazioni
Servizi Proattivi: servizi finalizzati a migliorare il livello di protezione dell'organizzazione (security/vulnerability assessments, early warning, security awareness, threat intelligence/hunting)
SOC non presente ma previsto
SOC non presente e non previsto

Question Title

* 19. Disponete di un team di threat intelligence?

Question Title

* 20. Quali ambiti sono oggetto delle attività di threat intelligence?

Question Title

* 21. Per la Cyber Security Governance utilizzate degli standard o dei modelli di riferimento? Su quali siete certificati?

IL SISTEMA DI DIFESA E DETECTION

Question Title

* 22. Come giudica il grado di copertura degli asset e degli ambienti critici della vostra azienda relativamente a: 

Controllo degli accessi a sistemi ed applicazioni

  Nessuno Alcune Gran parte Tutte
Accesso semplificato username/password
Accesso avanzato strong authentication
Sistema automatizzato per il governo dei diritti di accesso (IAM)
Soluzioni di controllo delle attività degli amministratori e degli utenti privilegiati (PAM)
Soluzioni di tracciatura

Question Title

* 23. Come giudica il grado di copertura degli asset e degli ambienti critici della vostra azienda relativamente a: 

Controllo delle reti e delle telecomunicazioni

  Nessuno Alcune Gran parte Tutte
Segmentazione della rete locale
Controllo del canale di comunicazione pubblico internet
Controllo delle terminazioni di rete extranet (MPLS o simili)
Controllo degli accessi remoti di dipendenti e fornitori
Controllo degli accessi alla rete WiFi
Controllo sulla presenza di dispositivi non autorizzati (NAC e rogue device detection)
Soluzioni di antiDOS (volumetrico)

Question Title

* 24. Come giudica il grado di copertura degli asset e degli ambienti critici della vostra azienda relativamente a: 

Controllo della sicurezza dei sistemi

  Nessuno Alcune Gran parte Tutte
Soluzioni di compliance (es. politiche di sicurezza aziendali)
Politiche di patching
Politiche di hardening
Soluzioni di software inventory (rilevazione software non autorizzati)
Soluzioni di configuration management (rilevazione violazione delle policy di configurazione)
Vulnerability assessment
Sistemi di tracciatura
Sistemi di logging
Sistemi di correlazione degli eventi

Question Title

* 25. Come giudica il grado di copertura degli asset e degli ambienti critici della vostra azienda relativamente a: 

Protezione dei dati

  Nessuno Alcune Gran parte Tutte
Accesso semplificato username/password
Accesso avanzato strong authentication
Sistema automatizzato per il governo dei diritti di accesso (IAM)
Soluzioni di controllo delle attività degli amministratori e degli utenti privilegiati (PAM)
Soluzioni di tracciatura

Question Title

* 26. Come giudica il grado di copertura degli asset e degli ambienti critici della vostra azienda relativamente a: 

Protezione da malware ed APT

  Nessuno Alcune Gran parte Tutte
Protezione server Open
Protezione sistemi Legacy
Soluzioni di network behaviour analytics
Protezione della navigazione internet degli utenti
Protezione della posta elettronica
Soluzioni di system behaviour analytics (sandbox e similari)

Question Title

* 27. Come giudica il grado di copertura degli asset e degli ambienti critici della vostra azienda relativamente a: 

Controlli sulla sicurezza del software

  Nessuno Alcune Gran parte Tutte
Soluzione di protezione dei repository dei sorgenti
Soluzione di controllo statico della sicurezza del codice
Soluzione di controllo dinamico della sicurezza delle applicazioni

Question Title

* 28. Come giudica il grado di copertura degli asset e degli ambienti critici della vostra azienda relativamente a: 

Controlli periodici del livello di affidabilità delle protezioni

  Nessuno Alcune Gran parte Tutte
Security Audit da parte di enti terzi
Penetration test da parte di enti terzi

Question Title

* 29. Come giudica il grado di copertura degli asset e degli ambienti critici della vostra azienda relativamente a: 

Architetture di continuità di servizio

  Nessuno Alcune Gran parte Tutte
Soluzione di Backup
Soluzione di Disaster Recovery
Soluzione di Business Continuity

Question Title

* 30. Disponete di capacità di cyber intelligence?

Question Title

* 31. Le vulnerabilità rilevate dalla funzione di Cyber Security sono valutate per mezzo di un approccio Risk based?

Question Title

* 32. Indicare rispetto a quali minacce è svolto l’approccio risk based

Question Title

* 33. Avete adottato o state valutando di utilizzare soluzioni machine learning based, in grado di analizzare e correlare più fonti ed ambienti, ed incrementare il livello di Cyber Security?

Question Title

* 34. Nello sviluppo di software avete adottato modelli nell’ottica Security-by-Design (approccio ai controlli di sicurezza che formalizza la progettazione, pianifica i controlli di sicurezza e ottimizza l'auditing)?

Question Title

* 35. (Solo per alcuni settori) Nell’adozione di dispositivi IoT/connessi richiedete ai fornitori modelli di sviluppo nell’ottica Security-by-Design?

Question Title

* 36. Quali ambienti sono oggetto delle attività di penetration testing e vulnerability assessment?

Question Title

* 37. Siete in grado di tracciare un incidente informatico subito?

Question Title

* 38. Nel caso in cui l’attacco abbia avuto effetto, come è stato gestito?

Question Title

* 39. In che modo valutate e monitorate la reale capacità di identificazione di un attacco ricevuto dalla vostra azienda e la relativa capacità di reazione?

Question Title

* 40. Avete adottato una copertura assicurativa per proteggere la vostra realtà dai rischi informatici connessi?

Question Title

* 41. Quali strumenti/procedure avete adottato per aumentare la consapevolezza di dipendenti e collaboratori per limitare l’impatto di eventuali attacchi informatici?

FOCUS CLOUD SECURITY

Question Title

* 42. Quale è attualmente il ruolo del cloud nella vostra Organizzazione?

Question Title

* 43. Quali servizi Cloud utilizzate?

Question Title

* 44. Avete effettuato un assessment specifico volto a rilevare la presenza di soluzioni Cloud non “approvate” dalla funzione IT ma utilizzate da dipendenti/linee di business (cosiddetto Shadow cloud)?

Question Title

* 45. Quali soluzioni as a service avete adottato per proteggere le applicazioni in Cloud?

Question Title

* 46. Quali ambienti sono coperti dalle soluzioni di Cloud security adottate?

Question Title

* 47. Le soluzioni di Cloud security per la gestione delle identità sono utilizzate anche per proteggere ambienti on premise e/o device?

FOCUS GDPR

Question Title

* 48. Quale delle seguenti iniziative volte alla conformità ai regolamenti GDPR hanno richiesto il maggior effort?

Question Title

* 49. Quali sono state le maggiori criticità affrontate nel conformare la vostra Organizzazione ai regolamenti del GDPR dell’UE?

Question Title

* 50. Avete adottato un modello di data governance, che comprenda i temi di privacy e protezione e che sia supportato da tecnologie e processi per il monitoraggio e la gestione delle violazioni di policy e privacy?

Question Title

* 51. Avete adottato un modello di Risk Management che tenga conto dei rischi privacy, in grado di individuarli e categorizzarli in funzione di priorità?

Question Title

* 52. In relazione alla fase di Identificazione e classificazione dei dati, in quale situazione siete relativamente alle seguenti attività?

  Attività terminata Attività prossima al completamento Parzialmente svolta Allo stato iniziale
Identificazione dei sistemi dove i dati personali sono memorizzati (server, computer personali, spazi cloud, anche detenuti da terze parti)
Classificazione della tipologia dei dati trattati (personali, sensibili, giuridici ecc.)
Inventario di sistemi e applicazioni

Question Title

* 53. In relazione alle Procedure, in quale situazione siete relativamente alle seguenti attività?

  Attività terminata Attività prossima al completamento Parzialmente svolta Allo stato iniziale
Capacità di interrompere un trattamento dati su richiesta dell’interessato e fornire informazioni puntuali nel caso questo non sia possibile
Predisposizione di un canale che renda semplici le comunicazioni da e per gli interessati (tracking delle richieste, incluse quelle di rettifica e cancellazione dei dati)
Rilevazione dei trasferimenti di dati personali verso fornitori e terze parti

Question Title

* 54. In relazione alla fase di Protezione, in quale situazione siete relativamente alle seguenti attività?

  Attività terminata Attività prossima al completamento Parzialmente svolta Allo stato iniziale
Adozione di criteri di data protection by design and default nello sviluppo di processi, prodotti e tecnologie
Adozione di tecnologie di crittografia per proteggere dati personali gestiti
Creazione di una mappa che riporti chiaramente il livello di ogni area di Cyber Security della organizzazione

Question Title

* 55. Sono state stabilite procedure di auditing riguardo a regolamenti GDPR sui fornitori e terze parti (es: outsourcer, cloud provider) coinvolti nella gestione dei dati?

IL BUDGET CYBER SECURITY

Question Title

* 56. Il budget per la sicurezza informatica viene previsto separatamente o all’interno del budget IT complessivo?

Question Title

* 57. (Escludendo i costi del personale interno) Quale sarà nel 2018 e nel 2019 la spesa in Sicurezza informatica della vostra azienda/Ente? (valore assoluto che include hardware, software e servizi di governance, compliance, monitoraggio e gestione, escludendo i costi del personale interno)

Question Title

* 58. Se non indica valore assoluto - (escludendo i costi del personale interno) Che incidenza ha sulla spesa ICT della vostra azienda la spesa in Sicurezza nel 2018 e nel 2019?

Question Title

* 59. (escludendo i costi del personale interno) Quale andamento avrà nel 2019 (se confrontata con quella 2018) la spesa in sicurezza informatica della vostra azienda/ente?

LE SFIDE E LE PRIORITÀ

Question Title

* 60. Quali sfide dovete affrontare attualmente nel gestire la sicurezza nei progetti di digitalizzazione (es. Mobile, IoT, API e Cloud)?Quali sfide dovete affrontare attualmente nel gestire la sicurezza nei progetti di digitalizzazione (es. Mobile, IoT, API e Cloud)?

Question Title

* 61. Quali sono le priorità che guidano la vostra strategia in ambito Cyber Security nel 2018-2019?

Question Title

* 62. Quali sono gli ambiti di investimento in Cyber Security previsti nel 2018-2019?

Question Title

* 63. (Se Cloud Security a domanda precedente) Quali sono gli ambiti di investimento specifico in Cloud Security previsti nel 2018-2019?

Question Title

* 64. Quali sono i principali sponsor/influencer che guideranno gli investimenti di Cyber Security previsti nel 2018-2019?

Question Title

* 65. Partecipate a programmi/progetti volti a condividere le minacce informatiche (subite) con altri soggetti?

Question Title

* 66. Se sì:

Question Title

* 67. Se no, ma è previsto nel corso del 2018-2019

I fornitori

Question Title

* 68. Quanto ritenete pronti i fornitori ICT nel supportarvi all’interno di questo nuovo contesto di Cyber Security?

Question Title

* 69. Quanto ritenete che le diverse tipologie di fornitori possano rispondere alle esigenze in ambito Cyber Security? 

Start-up innovative

Question Title

* 70. Fornitori ICT focalizzati su specifiche aree/tecnologie

Question Title

* 71. c) Società di consulenza specializzate in Cyber Security

Question Title

* 72. Global vendor ICT

Question Title

* 73. Player di piattaforma specializzati (IoT security, Cloud Security…)

Question Title

* 74. Società di consulenza strategica

Question Title

* 75. System Integrator

Question Title

* 76. Società in-house (solo per PA e Sanità)