Cyber Security Survey

Cyber Security Survey 2018

Vi ringraziamo di partecipare a questa inchiesta sulla sicurezza cibernetica.
Si tratta di un sondaggio condotto e gestito dalla Camera di commercio, dell'industria, dell'artigianato e dei servizi del Cantone Ticino (Cc-Ti), in stretta collaborazione con InTheCyber Group, il Servizio informatica forense SUPSI e con il patrocinio del Dipartimento delle Istituzioni del Cantone Ticino.
Lo scopo è la raccolta e la condivisione sul territorio di informazioni sui rischi cyber e sulle attività di "detection & response" che riguardano la gestione delle minacce cibernetiche.

Informazioni generali:

Question Title

* 1. Indirizzo

Nome

Azienda

Indirizzo

Indirizzo 2

Località

Paese

CAP/Codice postale

Indirizzo e-mail

Question Title

* 2. Settore d'attività:

Question Title

* 3. Numero di dipendenti:

Question Title

* 4. Nome e Cognome:

Question Title

* 5. Ruolo in azienda

Lo scenario e le minacce

Question Title

* 6. Quali sono stati i principali tentativi di attacco rilevati nel 2017 e nella prima metà del 2018?

DDoS

Massive Phishing

Spear Phishing

Attacchi targetizzati a web e mobile application

Attacchi non targetizzati (i.e. provenienti da botnet) a web e mobile application

Attacchi targetizzati ad altri servizi (SSH, RDP, ecc)

Attacchi targetizzati ad apparati connessi (apparati di rete, apparati di connessione dati, stampanti connesse e altro)

Attacchi targetizzati agli apparati/macchinari di produzione (IoT, SCADA)

Ransomware (es. crittografia dei dati con richiesta di riscatto)

Altri malware

Attacchi ad ATM (accesso al pc di gestione dell’ATM)

Social engineering/CEO Fraud

SIM cloning

Altro (specificare)

Question Title

* 7. Quali sono i vettori di infezioni o di attacco e quali in prospettiva lo saranno secondo il proprio business aziendale?

Servizio di posta elettronica

Accesso a siti Internet o servizi erogati via Internet (portali, Home banking, siti, etc)

PC/Laptop del personale interno

Soluzioni e device Mobili/Rugged dati in dotazione al personale interno

Soluzioni e Device Mobili del personale interno non aziendali (es. BYOD)

Servizi web/social utilizzati da clienti/utenti/partner

Soluzioni di Cloud Computing utilizzate dall’azienda

Tecnologie IoT/oggetti connessi

Rete Wi-Fi

Connessioni (pubbliche e\o private) con stakeholder (partner, fornitori, utenti, etc)

Accesso fisico a CED/sale server

Altro (specificare)

L'organizzazione interna

Question Title

* 8. Attualmente come è organizzata la vostra azienda per la governance e la gestione della Cyber Security?

Ufficio/dipartimento autonomo interno all’IT

Attività svolta da risorse IT, ma assenza di un ufficio/dipartimento specifico dedicato

Ufficio/dipartimento autonomo esterno all’IT

Direzione sicurezza aziendale (a livello Corporate)

Attività svolta da risorse esterne all’IT, ma assenza di un ufficio/dipartimento specifico

Attività completamente esternalizzata

Altro (specificare)

Question Title

* 9. In funzione delle risposte fornite alla domanda precedente, indicare se l’ufficio/dipartimento/ team di risorse ha autonomia di budget oppure svolge solamente funzioni di governance/indirizzo/gestione operativa/attività

Sì

Altro (specificare)

Question Title

* 10. Può indicarci il numero di risorse dedicate alla Cyber Security? Includere risorse coinvolte in attività di governance, compliance, monitoraggio e gestione:

Nel 2017

Risorse interne

Risorse esterne

Question Title

* 11. Nel 2018

Risorse interne

Risorse esterne

Question Title

* 12. Nel 2019 (previsione)

Risorse interne

Risorse esterne

Question Title

* 13. Ritiene la vostra struttura ed il modello organizzativo adottato adeguato a gestire le sfide attuali e future in termini di Cyber Security?

Assolutamente sì

Abbastanza

Poco

Per nulla

Question Title

* 14. (Se poco o per nulla a domanda precedente) Quali sono le principali motivazioni?

Competenze

Risorse (persone e collaboratori)

Risorse economiche disponibili

Autonomia (decisionale ed operativa) e reale capacità d’indirizzo dell’ufficio preposto

Difficoltà a sensibilizzare le altre aree aziendali

Question Title

* 15. Prevedete un incremento delle risorse dedicate alla Cyber Security nel 2018 o nel 2019?

Non so

Question Title

* 16. Quali sono gli ambiti su cui si pensa di incrementare gli skills/competenze?

Threat Intelligence Analyst

Security Analyst

Malware Analyst

Network Security Specialist

IoT Security Specialist

Incident Response Specialist

Security Architect

IT Risk analyst

Altro (specificare)

Question Title

* 17. È presente presso la vostra azienda un Security Operation Center?

Sì

Question Title

* 18. Se sì, indicare per ogni servizio se è svolto solo internamente, sia internamente sia esternamente, solo esternamente. Se non presente lasciare in bianco.

	SOC interno	SOC interno ed esterno	SOC esterno
Servizi di Monitoraggio: l'infrastruttura IT e di sicurezza vengono monitorate in tempo reale al fine di individuare tempestivamente tentativi di intrusione o di attacco dei sistemi	Servizi di Monitoraggio: l'infrastruttura IT e di sicurezza vengono monitorate in tempo reale al fine di individuare tempestivamente tentativi di intrusione o di attacco dei sistemi SOC interno	Servizi di Monitoraggio: l'infrastruttura IT e di sicurezza vengono monitorate in tempo reale al fine di individuare tempestivamente tentativi di intrusione o di attacco dei sistemi SOC interno ed esterno	Servizi di Monitoraggio: l'infrastruttura IT e di sicurezza vengono monitorate in tempo reale al fine di individuare tempestivamente tentativi di intrusione o di attacco dei sistemi SOC esterno
Servizi di Gestione: attività di gestione delle funzionalità di sicurezza legate all'infrastruttura IT, come rete, sistemi ed applicazioni	Servizi di Gestione: attività di gestione delle funzionalità di sicurezza legate all'infrastruttura IT, come rete, sistemi ed applicazioni SOC interno	Servizi di Gestione: attività di gestione delle funzionalità di sicurezza legate all'infrastruttura IT, come rete, sistemi ed applicazioni SOC interno ed esterno	Servizi di Gestione: attività di gestione delle funzionalità di sicurezza legate all'infrastruttura IT, come rete, sistemi ed applicazioni SOC esterno
Servizi Proattivi: servizi finalizzati a migliorare il livello di protezione dell'organizzazione (security/vulnerability assessments, early warning, security awareness, threat intelligence/hunting)	Servizi Proattivi: servizi finalizzati a migliorare il livello di protezione dell'organizzazione (security/vulnerability assessments, early warning, security awareness, threat intelligence/hunting) SOC interno	Servizi Proattivi: servizi finalizzati a migliorare il livello di protezione dell'organizzazione (security/vulnerability assessments, early warning, security awareness, threat intelligence/hunting) SOC interno ed esterno	Servizi Proattivi: servizi finalizzati a migliorare il livello di protezione dell'organizzazione (security/vulnerability assessments, early warning, security awareness, threat intelligence/hunting) SOC esterno
SOC non presente ma previsto	SOC non presente ma previsto SOC interno	SOC non presente ma previsto SOC interno ed esterno	SOC non presente ma previsto SOC esterno
SOC non presente e non previsto	SOC non presente e non previsto SOC interno	SOC non presente e non previsto SOC interno ed esterno	SOC non presente e non previsto SOC esterno

Question Title

* 19. Disponete di un team di threat intelligence?

Sì, interno all’organizzazione

Sì, esterno tramite società di consulenza esterna o centri di ricerca

Question Title

* 20. Quali ambiti sono oggetto delle attività di threat intelligence?

Open Source Intelligence (OSINT)

Social Media Intelligence (SOCMINT)

Dati Personali, Human Intelligence (HUMINT)

Intelligence tecnica e sociale da deep e dark web

Altro (specificare)

Question Title

* 21. Per la Cyber Security Governance utilizzate degli standard o dei modelli di riferimento? Su quali siete certificati?

ISO/IEC 20000

ISO 27000/27001/2700x

NIST (es. 800-53, 800-61, etc)

PCI

Standard Settoriali (specificare)

SOX

HIL6

Altro (specificare)

Nessuno di questi

IL SISTEMA DI DIFESA E DETECTION

Question Title

* 22. Come giudica il grado di copertura degli asset e degli ambienti critici della vostra azienda relativamente a:

Controllo degli accessi a sistemi ed applicazioni

	Nessuno	Alcune	Gran parte	Tutte
Accesso semplificato username/password	Accesso semplificato username/password Nessuno	Accesso semplificato username/password Alcune	Accesso semplificato username/password Gran parte	Accesso semplificato username/password Tutte	Accesso semplificato username/password
Accesso avanzato strong authentication	Accesso avanzato strong authentication Nessuno	Accesso avanzato strong authentication Alcune	Accesso avanzato strong authentication Gran parte	Accesso avanzato strong authentication Tutte	Accesso avanzato strong authentication
Sistema automatizzato per il governo dei diritti di accesso (IAM)	Sistema automatizzato per il governo dei diritti di accesso (IAM) Nessuno	Sistema automatizzato per il governo dei diritti di accesso (IAM) Alcune	Sistema automatizzato per il governo dei diritti di accesso (IAM) Gran parte	Sistema automatizzato per il governo dei diritti di accesso (IAM) Tutte	Sistema automatizzato per il governo dei diritti di accesso (IAM)
Soluzioni di controllo delle attività degli amministratori e degli utenti privilegiati (PAM)	Soluzioni di controllo delle attività degli amministratori e degli utenti privilegiati (PAM) Nessuno	Soluzioni di controllo delle attività degli amministratori e degli utenti privilegiati (PAM) Alcune	Soluzioni di controllo delle attività degli amministratori e degli utenti privilegiati (PAM) Gran parte	Soluzioni di controllo delle attività degli amministratori e degli utenti privilegiati (PAM) Tutte	Soluzioni di controllo delle attività degli amministratori e degli utenti privilegiati (PAM)
Soluzioni di tracciatura	Soluzioni di tracciatura Nessuno	Soluzioni di tracciatura Alcune	Soluzioni di tracciatura Gran parte	Soluzioni di tracciatura Tutte	Soluzioni di tracciatura

Question Title

* 23. Come giudica il grado di copertura degli asset e degli ambienti critici della vostra azienda relativamente a:

Controllo delle reti e delle telecomunicazioni

	Nessuno	Alcune	Gran parte	Tutte
Segmentazione della rete locale	Segmentazione della rete locale Nessuno	Segmentazione della rete locale Alcune	Segmentazione della rete locale Gran parte	Segmentazione della rete locale Tutte
Controllo del canale di comunicazione pubblico internet	Controllo del canale di comunicazione pubblico internet Nessuno	Controllo del canale di comunicazione pubblico internet Alcune	Controllo del canale di comunicazione pubblico internet Gran parte	Controllo del canale di comunicazione pubblico internet Tutte
Controllo delle terminazioni di rete extranet (MPLS o simili)	Controllo delle terminazioni di rete extranet (MPLS o simili) Nessuno	Controllo delle terminazioni di rete extranet (MPLS o simili) Alcune	Controllo delle terminazioni di rete extranet (MPLS o simili) Gran parte	Controllo delle terminazioni di rete extranet (MPLS o simili) Tutte
Controllo degli accessi remoti di dipendenti e fornitori	Controllo degli accessi remoti di dipendenti e fornitori Nessuno	Controllo degli accessi remoti di dipendenti e fornitori Alcune	Controllo degli accessi remoti di dipendenti e fornitori Gran parte	Controllo degli accessi remoti di dipendenti e fornitori Tutte
Controllo degli accessi alla rete WiFi	Controllo degli accessi alla rete WiFi Nessuno	Controllo degli accessi alla rete WiFi Alcune	Controllo degli accessi alla rete WiFi Gran parte	Controllo degli accessi alla rete WiFi Tutte
Controllo sulla presenza di dispositivi non autorizzati (NAC e rogue device detection)	Controllo sulla presenza di dispositivi non autorizzati (NAC e rogue device detection) Nessuno	Controllo sulla presenza di dispositivi non autorizzati (NAC e rogue device detection) Alcune	Controllo sulla presenza di dispositivi non autorizzati (NAC e rogue device detection) Gran parte	Controllo sulla presenza di dispositivi non autorizzati (NAC e rogue device detection) Tutte
Soluzioni di antiDOS (volumetrico)	Soluzioni di antiDOS (volumetrico) Nessuno	Soluzioni di antiDOS (volumetrico) Alcune	Soluzioni di antiDOS (volumetrico) Gran parte	Soluzioni di antiDOS (volumetrico) Tutte

Question Title

* 24. Come giudica il grado di copertura degli asset e degli ambienti critici della vostra azienda relativamente a:

Controllo della sicurezza dei sistemi

	Nessuno	Alcune	Gran parte	Tutte
Soluzioni di compliance (es. politiche di sicurezza aziendali)	Soluzioni di compliance (es. politiche di sicurezza aziendali) Nessuno	Soluzioni di compliance (es. politiche di sicurezza aziendali) Alcune	Soluzioni di compliance (es. politiche di sicurezza aziendali) Gran parte	Soluzioni di compliance (es. politiche di sicurezza aziendali) Tutte
Politiche di patching	Politiche di patching Nessuno	Politiche di patching Alcune	Politiche di patching Gran parte	Politiche di patching Tutte
Politiche di hardening	Politiche di hardening Nessuno	Politiche di hardening Alcune	Politiche di hardening Gran parte	Politiche di hardening Tutte
Soluzioni di software inventory (rilevazione software non autorizzati)	Soluzioni di software inventory (rilevazione software non autorizzati) Nessuno	Soluzioni di software inventory (rilevazione software non autorizzati) Alcune	Soluzioni di software inventory (rilevazione software non autorizzati) Gran parte	Soluzioni di software inventory (rilevazione software non autorizzati) Tutte
Soluzioni di configuration management (rilevazione violazione delle policy di configurazione)	Soluzioni di configuration management (rilevazione violazione delle policy di configurazione) Nessuno	Soluzioni di configuration management (rilevazione violazione delle policy di configurazione) Alcune	Soluzioni di configuration management (rilevazione violazione delle policy di configurazione) Gran parte	Soluzioni di configuration management (rilevazione violazione delle policy di configurazione) Tutte
Vulnerability assessment	Vulnerability assessment Nessuno	Vulnerability assessment Alcune	Vulnerability assessment Gran parte	Vulnerability assessment Tutte
Sistemi di tracciatura	Sistemi di tracciatura Nessuno	Sistemi di tracciatura Alcune	Sistemi di tracciatura Gran parte	Sistemi di tracciatura Tutte
Sistemi di logging	Sistemi di logging Nessuno	Sistemi di logging Alcune	Sistemi di logging Gran parte	Sistemi di logging Tutte
Sistemi di correlazione degli eventi	Sistemi di correlazione degli eventi Nessuno	Sistemi di correlazione degli eventi Alcune	Sistemi di correlazione degli eventi Gran parte	Sistemi di correlazione degli eventi Tutte

Question Title

* 25. Come giudica il grado di copertura degli asset e degli ambienti critici della vostra azienda relativamente a:

Protezione dei dati

	Nessuno	Alcune	Gran parte	Tutte
Accesso semplificato username/password	Accesso semplificato username/password Nessuno	Accesso semplificato username/password Alcune	Accesso semplificato username/password Gran parte	Accesso semplificato username/password Tutte
Accesso avanzato strong authentication	Accesso avanzato strong authentication Nessuno	Accesso avanzato strong authentication Alcune	Accesso avanzato strong authentication Gran parte	Accesso avanzato strong authentication Tutte
Sistema automatizzato per il governo dei diritti di accesso (IAM)	Sistema automatizzato per il governo dei diritti di accesso (IAM) Nessuno	Sistema automatizzato per il governo dei diritti di accesso (IAM) Alcune	Sistema automatizzato per il governo dei diritti di accesso (IAM) Gran parte	Sistema automatizzato per il governo dei diritti di accesso (IAM) Tutte
Soluzioni di controllo delle attività degli amministratori e degli utenti privilegiati (PAM)	Soluzioni di controllo delle attività degli amministratori e degli utenti privilegiati (PAM) Nessuno	Soluzioni di controllo delle attività degli amministratori e degli utenti privilegiati (PAM) Alcune	Soluzioni di controllo delle attività degli amministratori e degli utenti privilegiati (PAM) Gran parte	Soluzioni di controllo delle attività degli amministratori e degli utenti privilegiati (PAM) Tutte
Soluzioni di tracciatura	Soluzioni di tracciatura Nessuno	Soluzioni di tracciatura Alcune	Soluzioni di tracciatura Gran parte	Soluzioni di tracciatura Tutte

Question Title

* 26. Come giudica il grado di copertura degli asset e degli ambienti critici della vostra azienda relativamente a:

Protezione da malware ed APT

	Nessuno	Alcune	Gran parte	Tutte
Protezione server Open	Protezione server Open Nessuno	Protezione server Open Alcune	Protezione server Open Gran parte	Protezione server Open Tutte
Protezione sistemi Legacy	Protezione sistemi Legacy Nessuno	Protezione sistemi Legacy Alcune	Protezione sistemi Legacy Gran parte	Protezione sistemi Legacy Tutte
Soluzioni di network behaviour analytics	Soluzioni di network behaviour analytics Nessuno	Soluzioni di network behaviour analytics Alcune	Soluzioni di network behaviour analytics Gran parte	Soluzioni di network behaviour analytics Tutte
Protezione della navigazione internet degli utenti	Protezione della navigazione internet degli utenti Nessuno	Protezione della navigazione internet degli utenti Alcune	Protezione della navigazione internet degli utenti Gran parte	Protezione della navigazione internet degli utenti Tutte
Protezione della posta elettronica	Protezione della posta elettronica Nessuno	Protezione della posta elettronica Alcune	Protezione della posta elettronica Gran parte	Protezione della posta elettronica Tutte
Soluzioni di system behaviour analytics (sandbox e similari)	Soluzioni di system behaviour analytics (sandbox e similari) Nessuno	Soluzioni di system behaviour analytics (sandbox e similari) Alcune	Soluzioni di system behaviour analytics (sandbox e similari) Gran parte	Soluzioni di system behaviour analytics (sandbox e similari) Tutte

Question Title

* 27. Come giudica il grado di copertura degli asset e degli ambienti critici della vostra azienda relativamente a:

Controlli sulla sicurezza del software

	Nessuno	Alcune	Gran parte	Tutte
Soluzione di protezione dei repository dei sorgenti	Soluzione di protezione dei repository dei sorgenti Nessuno	Soluzione di protezione dei repository dei sorgenti Alcune	Soluzione di protezione dei repository dei sorgenti Gran parte	Soluzione di protezione dei repository dei sorgenti Tutte
Soluzione di controllo statico della sicurezza del codice	Soluzione di controllo statico della sicurezza del codice Nessuno	Soluzione di controllo statico della sicurezza del codice Alcune	Soluzione di controllo statico della sicurezza del codice Gran parte	Soluzione di controllo statico della sicurezza del codice Tutte
Soluzione di controllo dinamico della sicurezza delle applicazioni	Soluzione di controllo dinamico della sicurezza delle applicazioni Nessuno	Soluzione di controllo dinamico della sicurezza delle applicazioni Alcune	Soluzione di controllo dinamico della sicurezza delle applicazioni Gran parte	Soluzione di controllo dinamico della sicurezza delle applicazioni Tutte

Question Title

* 28. Come giudica il grado di copertura degli asset e degli ambienti critici della vostra azienda relativamente a:

Controlli periodici del livello di affidabilità delle protezioni

	Nessuno	Alcune	Gran parte	Tutte
Security Audit da parte di enti terzi	Security Audit da parte di enti terzi Nessuno	Security Audit da parte di enti terzi Alcune	Security Audit da parte di enti terzi Gran parte	Security Audit da parte di enti terzi Tutte
Penetration test da parte di enti terzi	Penetration test da parte di enti terzi Nessuno	Penetration test da parte di enti terzi Alcune	Penetration test da parte di enti terzi Gran parte	Penetration test da parte di enti terzi Tutte

Question Title

* 29. Come giudica il grado di copertura degli asset e degli ambienti critici della vostra azienda relativamente a:

Architetture di continuità di servizio

	Nessuno	Alcune	Gran parte	Tutte
Soluzione di Backup	Soluzione di Backup Nessuno	Soluzione di Backup Alcune	Soluzione di Backup Gran parte	Soluzione di Backup Tutte
Soluzione di Disaster Recovery	Soluzione di Disaster Recovery Nessuno	Soluzione di Disaster Recovery Alcune	Soluzione di Disaster Recovery Gran parte	Soluzione di Disaster Recovery Tutte
Soluzione di Business Continuity	Soluzione di Business Continuity Nessuno	Soluzione di Business Continuity Alcune	Soluzione di Business Continuity Gran parte	Soluzione di Business Continuity Tutte

Question Title

* 30. Disponete di capacità di cyber intelligence?

Si, data feed integrato con piattaforma di analisi (es. SIEM, Big Data)

Si, data feed come sorgente informativa per gli analisti di threat

Si, data feed integrato sulle sonde di rilevazione attacchi

No, nessuna

Question Title

* 31. Le vulnerabilità rilevate dalla funzione di Cyber Security sono valutate per mezzo di un approccio Risk based?

Assolutamente sì

Abbastanza

Poco

Per nulla

Question Title

* 32. Indicare rispetto a quali minacce è svolto l’approccio risk based

Riservatezza

Integrità

Disponibilità

Question Title

* 33. Avete adottato o state valutando di utilizzare soluzioni machine learning based, in grado di analizzare e correlare più fonti ed ambienti, ed incrementare il livello di Cyber Security?

Le stiamo già utilizzando sia per ambienti on premise che per ambienti Cloud

Le stiamo già utilizzando ma solo per ambienti on premise

Le stiamo già utilizzando ma solo per ambienti Cloud

No, ma sono previste nel 2018/2019

No e non prevediamo di utilizzarle

No, non so cosa siano e come funzionino

Question Title

* 34. Nello sviluppo di software avete adottato modelli nell’ottica Security-by-Design (approccio ai controlli di sicurezza che formalizza la progettazione, pianifica i controlli di sicurezza e ottimizza l'auditing)?

Si, solamente per lo sviluppo interno

Si, solamente se lo sviluppo è effettuato esternamente

Sì, sia per lo sviluppo interno che esterno

No, ma è prevista nel corso del 2018/2019

No, non lo prevediamo

No, no so cosa sia questo approccio

Question Title

* 35. (Solo per alcuni settori) Nell’adozione di dispositivi IoT/connessi richiedete ai fornitori modelli di sviluppo nell’ottica Security-by-Design?

No, ma è prevista nel corso del 2018/2019

No, non lo prevediamo

Question Title

* 36. Quali ambienti sono oggetto delle attività di penetration testing e vulnerability assessment?

Ambienti tradizionali (server/applicazioni)

Sistemi IoT/connessi

End-point fissi

End-point mobili

Nessuno dei precedenti, perché queste attività non sono effettuate a cadenza prefissata

Question Title

* 37. Siete in grado di tracciare un incidente informatico subito?

Sì, con un grado di tracciabilità̀ ottimo.

Sì, con un buon grado di tracciabilità

Sì, ma il grado di tracciabilità è insoddisfacente

Question Title

* 38. Nel caso in cui l’attacco abbia avuto effetto, come è stato gestito?

Abbiamo effettuato operazioni di gestione di incidenti secondo procedura tecnica codificata dal nostro IRP – Incident Response Plan)

Abbiamo effettuato operazioni di gestione di incidenti secondo procedura tecnica codificata senza avere un IRP – Incident Response Plan

Abbiamo identificato la/e vulnerabilità sfruttata/e ed applicato una patch

Abbiamo effettuato operazioni di computer forensics sul sistema coinvolto (internamente)

Abbiamo effettuato operazioni di computer forensics sul sistema coinvolto (tramite azienda di consulenza esterna)

Abbiamo tracciato tutti i movimenti dell’attaccante ed effettuato operazioni di forensics, ricercando eventuali altri sistemi coinvolti

Altro (specificare)

Question Title

* 39. In che modo valutate e monitorate la reale capacità di identificazione di un attacco ricevuto dalla vostra azienda e la relativa capacità di reazione?

Effettuiamo test periodici di simulazione di attacco

Tramite indicatori di performance (SLA, KPI, ecc.) con cui valutiamo il nostro SOC

Non effettuano nessuna attività

Altro (specificare)

Question Title

* 40. Avete adottato una copertura assicurativa per proteggere la vostra realtà dai rischi informatici connessi?

Si, polizza specifica cyber-risks

Sì, polizza generica E&O (Error&Omission) /D&O (Directors & Officers Liability)

No, ma è prevista nel corso del 2018-2019

No, non la prevediamo

Question Title

* 41. Quali strumenti/procedure avete adottato per aumentare la consapevolezza di dipendenti e collaboratori per limitare l’impatto di eventuali attacchi informatici?

Policy generali

Policy specifiche per l’adozione di strumenti informatici (PC, device mobile, BYOD)/Servizi

Simulazioni di phishing

Awareness generale

Formazione specifica

Politiche di enforcement con premi/sanzioni

Altro (specificare)

FOCUS CLOUD SECURITY

Question Title

* 42. Quale è attualmente il ruolo del cloud nella vostra Organizzazione?

I sistemi sono interamente in cloud

Adottiamo sistemi on-premise e servizi cloud (ambiente ibrido)

Non adottiamo servizi cloud (Passare a sezione successiva)

Question Title

* 43. Quali servizi Cloud utilizzate?

IaaS

SaaS

PaaS

Question Title

* 44. Avete effettuato un assessment specifico volto a rilevare la presenza di soluzioni Cloud non “approvate” dalla funzione IT ma utilizzate da dipendenti/linee di business (cosiddetto Shadow cloud)?

Sì, e le abbiamo rilevate

Sì, e non ne abbiamo rilevate

No, ma è previsto nel corso del 2018/2019

No e non è previsto

Question Title

* 45. Quali soluzioni as a service avete adottato per proteggere le applicazioni in Cloud?

Soluzioni fornite dal gestore dei servizi Cloud

Soluzioni fornite da un provider esterno, per avere un controllo unico e trasversale dei vari asset

Question Title

* 46. Quali ambienti sono coperti dalle soluzioni di Cloud security adottate?

Applicazioni

Infrastrutture

Entrambi

Question Title

* 47. Le soluzioni di Cloud security per la gestione delle identità sono utilizzate anche per proteggere ambienti on premise e/o device?

No, utilizziamo altre soluzioni

FOCUS GDPR

Question Title

* 48. Quale delle seguenti iniziative volte alla conformità ai regolamenti GDPR hanno richiesto il maggior effort?

Assessment dei processi che sono impattati dalla normativa e valutazione dei rischi

Inventario dei dati degli utenti e mappatura alle categorie GDPR

Progettazione di applicazioni e database con privacy by design

Implementazioni di soluzioni per la Data Protection Impact Assessment

Implementazione di soluzioni di data protection/data encryption

Implementazione dei processi per consentire agli utenti di esercitare i propri diritti sui dati (ad es. Il diritto all'oblio/cancellazione del dato, portabilità)

Creazione del processo per la notifica dei data breach alle autorità competenti entro 72 ore

Gestione dei dati destrutturati

Non abbiamo fatto nulla

Altro (specificare)

Question Title

* 49. Quali sono state le maggiori criticità affrontate nel conformare la vostra Organizzazione ai regolamenti del GDPR dell’UE?

La creazione di un ufficio di DPO

Budget non adeguato alle necessità

Mancanza di personale esperto con competenze adeguate (skill)

Difficoltà nella mappatura dei dati

Complessità dovuta alla difficoltà di adeguare le applicazioni esistenti

Comprensione limitata/difficoltà di interpretazione delle normative

Difficoltà ad adeguare l’organizzazione e la comunicazione alle nuove politiche, direttive e procedure per la protezione del dato, la gestione dei data breach, la comunicazione verso i consumatori, la gestione degli incidenti, etc

La ridefinizione dei contratti per l’assegnazione della responsabilità di “responsabile del trattamento”

Nessuna

Altro (specificare)

Question Title

* 50. Avete adottato un modello di data governance, che comprenda i temi di privacy e protezione e che sia supportato da tecnologie e processi per il monitoraggio e la gestione delle violazioni di policy e privacy?

Sì

È in fase di completamento

No, ma è previsto

No è non è previsto

Question Title

* 51. Avete adottato un modello di Risk Management che tenga conto dei rischi privacy, in grado di individuarli e categorizzarli in funzione di priorità?

Sì

È in fase di completamento

No, ma è previsto

No è non è previsto

No, non so cosa sia

Question Title

* 52. In relazione alla fase di Identificazione e classificazione dei dati, in quale situazione siete relativamente alle seguenti attività?

	Attività terminata	Attività prossima al completamento	Parzialmente svolta	Allo stato iniziale
Identificazione dei sistemi dove i dati personali sono memorizzati (server, computer personali, spazi cloud, anche detenuti da terze parti)	Identificazione dei sistemi dove i dati personali sono memorizzati (server, computer personali, spazi cloud, anche detenuti da terze parti) Attività terminata	Identificazione dei sistemi dove i dati personali sono memorizzati (server, computer personali, spazi cloud, anche detenuti da terze parti) Attività prossima al completamento	Identificazione dei sistemi dove i dati personali sono memorizzati (server, computer personali, spazi cloud, anche detenuti da terze parti) Parzialmente svolta	Identificazione dei sistemi dove i dati personali sono memorizzati (server, computer personali, spazi cloud, anche detenuti da terze parti) Allo stato iniziale
Classificazione della tipologia dei dati trattati (personali, sensibili, giuridici ecc.)	Classificazione della tipologia dei dati trattati (personali, sensibili, giuridici ecc.) Attività terminata	Classificazione della tipologia dei dati trattati (personali, sensibili, giuridici ecc.) Attività prossima al completamento	Classificazione della tipologia dei dati trattati (personali, sensibili, giuridici ecc.) Parzialmente svolta	Classificazione della tipologia dei dati trattati (personali, sensibili, giuridici ecc.) Allo stato iniziale
Inventario di sistemi e applicazioni	Inventario di sistemi e applicazioni Attività terminata	Inventario di sistemi e applicazioni Attività prossima al completamento	Inventario di sistemi e applicazioni Parzialmente svolta	Inventario di sistemi e applicazioni Allo stato iniziale

Question Title

* 53. In relazione alle Procedure, in quale situazione siete relativamente alle seguenti attività?

	Attività terminata	Attività prossima al completamento	Parzialmente svolta	Allo stato iniziale
Capacità di interrompere un trattamento dati su richiesta dell’interessato e fornire informazioni puntuali nel caso questo non sia possibile	Capacità di interrompere un trattamento dati su richiesta dell’interessato e fornire informazioni puntuali nel caso questo non sia possibile Attività terminata	Capacità di interrompere un trattamento dati su richiesta dell’interessato e fornire informazioni puntuali nel caso questo non sia possibile Attività prossima al completamento	Capacità di interrompere un trattamento dati su richiesta dell’interessato e fornire informazioni puntuali nel caso questo non sia possibile Parzialmente svolta	Capacità di interrompere un trattamento dati su richiesta dell’interessato e fornire informazioni puntuali nel caso questo non sia possibile Allo stato iniziale
Predisposizione di un canale che renda semplici le comunicazioni da e per gli interessati (tracking delle richieste, incluse quelle di rettifica e cancellazione dei dati)	Predisposizione di un canale che renda semplici le comunicazioni da e per gli interessati (tracking delle richieste, incluse quelle di rettifica e cancellazione dei dati) Attività terminata	Predisposizione di un canale che renda semplici le comunicazioni da e per gli interessati (tracking delle richieste, incluse quelle di rettifica e cancellazione dei dati) Attività prossima al completamento	Predisposizione di un canale che renda semplici le comunicazioni da e per gli interessati (tracking delle richieste, incluse quelle di rettifica e cancellazione dei dati) Parzialmente svolta	Predisposizione di un canale che renda semplici le comunicazioni da e per gli interessati (tracking delle richieste, incluse quelle di rettifica e cancellazione dei dati) Allo stato iniziale
Rilevazione dei trasferimenti di dati personali verso fornitori e terze parti	Rilevazione dei trasferimenti di dati personali verso fornitori e terze parti Attività terminata	Rilevazione dei trasferimenti di dati personali verso fornitori e terze parti Attività prossima al completamento	Rilevazione dei trasferimenti di dati personali verso fornitori e terze parti Parzialmente svolta	Rilevazione dei trasferimenti di dati personali verso fornitori e terze parti Allo stato iniziale

Question Title

* 54. In relazione alla fase di Protezione, in quale situazione siete relativamente alle seguenti attività?

	Attività terminata	Attività prossima al completamento	Parzialmente svolta	Allo stato iniziale
Adozione di criteri di data protection by design and default nello sviluppo di processi, prodotti e tecnologie	Adozione di criteri di data protection by design and default nello sviluppo di processi, prodotti e tecnologie Attività terminata	Adozione di criteri di data protection by design and default nello sviluppo di processi, prodotti e tecnologie Attività prossima al completamento	Adozione di criteri di data protection by design and default nello sviluppo di processi, prodotti e tecnologie Parzialmente svolta	Adozione di criteri di data protection by design and default nello sviluppo di processi, prodotti e tecnologie Allo stato iniziale
Adozione di tecnologie di crittografia per proteggere dati personali gestiti	Adozione di tecnologie di crittografia per proteggere dati personali gestiti Attività terminata	Adozione di tecnologie di crittografia per proteggere dati personali gestiti Attività prossima al completamento	Adozione di tecnologie di crittografia per proteggere dati personali gestiti Parzialmente svolta	Adozione di tecnologie di crittografia per proteggere dati personali gestiti Allo stato iniziale
Creazione di una mappa che riporti chiaramente il livello di ogni area di Cyber Security della organizzazione	Creazione di una mappa che riporti chiaramente il livello di ogni area di Cyber Security della organizzazione Attività terminata	Creazione di una mappa che riporti chiaramente il livello di ogni area di Cyber Security della organizzazione Attività prossima al completamento	Creazione di una mappa che riporti chiaramente il livello di ogni area di Cyber Security della organizzazione Parzialmente svolta	Creazione di una mappa che riporti chiaramente il livello di ogni area di Cyber Security della organizzazione Allo stato iniziale

Question Title

* 55. Sono state stabilite procedure di auditing riguardo a regolamenti GDPR sui fornitori e terze parti (es: outsourcer, cloud provider) coinvolti nella gestione dei dati?

Si, completamente

Si, in buona parte

No, ma abbiamo dei progetti in corso

IL BUDGET CYBER SECURITY

Question Title

* 56. Il budget per la sicurezza informatica viene previsto separatamente o all’interno del budget IT complessivo?

Separatamente

All’interno del budget IT complessivo

Non è previsto aa bilancio e negli investimenti aziendali

Question Title

* 57. (Escludendo i costi del personale interno) Quale sarà nel 2018 e nel 2019 la spesa in Sicurezza informatica della vostra azienda/Ente? (valore assoluto che include hardware, software e servizi di governance, compliance, monitoraggio e gestione, escludendo i costi del personale interno)

Question Title

* 58. Se non indica valore assoluto - (escludendo i costi del personale interno) Che incidenza ha sulla spesa ICT della vostra azienda la spesa in Sicurezza nel 2018 e nel 2019?

<5%

5-10%

10-20%

>20%

Question Title

* 59. (escludendo i costi del personale interno) Quale andamento avrà nel 2019 (se confrontata con quella 2018) la spesa in sicurezza informatica della vostra azienda/ente?

crescita >10%

crescita tra 5% e 10%

crescita < 5%

stabile

calo < 5%

calo tra 5% e 10%

calo >10%

LE SFIDE E LE PRIORITÀ

Question Title

* 60. Quali sfide dovete affrontare attualmente nel gestire la sicurezza nei progetti di digitalizzazione (es. Mobile, IoT, API e Cloud)?Quali sfide dovete affrontare attualmente nel gestire la sicurezza nei progetti di digitalizzazione (es. Mobile, IoT, API e Cloud)?

Incremento del perimetro potenzialmente esposto ad attacchi

Incremento dei volumi di dati e delle informazioni da gestire

Sistemi complessi e sempre più interconnessi

Carenza di risorse economiche

Carenza di competenze interne

Carenza di competenze nei fornitori/partner

Carenza di una struttura organizzativa adeguata

Difficoltà nell’effettiva adozione delle policy da parte dei dipendenti

Difficoltà nell’interoperabilità dei dati, creando falle di sicurezza

Altro (specificare)

Question Title

* 61. Quali sono le priorità che guidano la vostra strategia in ambito Cyber Security nel 2018-2019?

Adozione di modelli, standard e framework di Cyber Security

Attività di Mobile e Web Penetration Test

Attività di Penetration Test su sistemi IT tradizionali

Attività di Penetration Test su ambienti Cloud

Attività di Penetration Test su sistemi IoT/Ambienti di produzione connessi/embedded

Incremento/adozione logiche di security by design

Esecuzione di una Business Impact Analysis complessiva su processi/sistemi

Revisione struttura di Governance della sicurezza IT

Security&Risk assessment a livello di processi

Incremento delle risorse (interne o esterne) dedicate alla Cyber Security intelligence

Attività Formazione e/o awareness del personale

Nuove collaborazioni con aziende e centri di ricerca

Altro (specificare)

Question Title

* 62. Quali sono gli ambiti di investimento in Cyber Security previsti nel 2018-2019?

Prodotti/Soluzioni di network security (es. IPS/IDS)

Prodotti/Soluzioni di application security

Prodotti/Soluzioni di endpoint security

Prodotti/Soluzioni di Identity Governance (es. IAM, s.s.on, strong authentication)

Prodotti/Soluzioni per la gestione delle utenze privilegiate (PAM)

Security information & event management (SIEM)

Ampliamento ambiti di utilizzo di Disaster recovery

Ampliamento ambiti di utilizzo di Business continuity

Soluzioni di sicurezza per dispositivi IoT/ambienti di produzione connessi/embedded

Soluzioni per la gestione degli incidenti

Soluzioni di threat intelligence/hunting

Soluzioni di Proactive/Preventive Analytics basate su algoritmi di Intelligenza Artificiale

Soluzioni di Data Security

Soluzioni di Cloud Security

Altro (specificare)

Question Title

* 63. (Se Cloud Security a domanda precedente) Quali sono gli ambiti di investimento specifico in Cloud Security previsti nel 2018-2019?

Prodotti/Soluzioni di network security (es. IPS/IDS)

Prodotti/Soluzioni di application security

Prodotti/Soluzioni di endpoint security

Prodotti/Soluzioni di Identity Governance (es. IAM, s.s.on, strong authentication)

Prodotti/Soluzioni per la gestione delle utenze privilegiate (PAM)

Security information & event management (SIEM)

Ampliamento ambiti di utilizzo di Disaster recovery

Ampliamento ambiti di utilizzo di Business continuity

Soluzioni di sicurezza per dispositivi IoT/Ambienti di produzione connessi/embedded

Soluzioni per la gestione degli incidenti

Soluzioni di threat intelligence/hunting

Soluzioni di Proactive/Preventive Analitycs basate su algoritmi di Intelligenza Artificiale

Soluzioni di Data Security

Altro (specificare)

Question Title

* 64. Quali sono i principali sponsor/influencer che guideranno gli investimenti di Cyber Security previsti nel 2018-2019?

Top management

Internal Audit

Responsabile della sicurezza informatica

Responsabile sistemi informativi

Fornitori

Partner

Interventi istituzionali di tipo regolatorio

Finanziamenti/interventi pubblici di sostegno agli investimenti in sicurezza per adeguamento ai benchmark di settore (inclusi progetti Europei)

Altro (specificare)

Question Title

* 65. Partecipate a programmi/progetti volti a condividere le minacce informatiche (subite) con altri soggetti?

No, ma è previsto nel corso del 2018-2019

No, ma sarebbe un’iniziativa utile

No, non lo prevediamo

Question Title

* 66. Se sì:

Con attori della filiera (partner/fornitori)

Con clienti

Con altri player del settore

Con soggetti Istituzionali

Question Title

* 67. Se no, ma è previsto nel corso del 2018-2019

Con attori della filiera (partner/fornitori)

Con clienti

Con altri player del settore

Con soggetti Istituzionali

I fornitori

Question Title

* 68. Quanto ritenete pronti i fornitori ICT nel supportarvi all’interno di questo nuovo contesto di Cyber Security?

Molto

Abbastanza

Poco

Per niente

Question Title

* 69. Quanto ritenete che le diverse tipologie di fornitori possano rispondere alle esigenze in ambito Cyber Security?

Start-up innovative

Question Title

* 70. Fornitori ICT focalizzati su specifiche aree/tecnologie

Question Title

* 71. c) Società di consulenza specializzate in Cyber Security

Question Title

* 72. Global vendor ICT

Question Title

* 73. Player di piattaforma specializzati (IoT security, Cloud Security…)

Question Title

* 74. Società di consulenza strategica

Question Title

* 75. System Integrator

Question Title

* 76. Società in-house (solo per PA e Sanità)

Altro (specificare)

Question Title

* 77. Quanto ritenete siano pronti i fornitori di dispositivi e componenti (SCADA, dispositivi medicali, oggetti connessi) nel supportarvi all’interno di questo nuovo contesto di Cyber Security?

Molto

Abbastanza

Poco

Per niente

Question Title

* 1. Indirizzo

Question Title

* 2. Settore d'attività:

Question Title

* 3. Numero di dipendenti:

Question Title

* 4. Nome e Cognome:

Question Title

* 5. Ruolo in azienda

Question Title

* 6. Quali sono stati i principali tentativi di attacco rilevati nel 2017 e nella prima metà del 2018?

Question Title

* 7. Quali sono i vettori di infezioni o di attacco e quali in prospettiva lo saranno secondo il proprio business aziendale?

Question Title

* 8. Attualmente come è organizzata la vostra azienda per la governance e la gestione della Cyber Security?

Question Title

* 9. In funzione delle risposte fornite alla domanda precedente, indicare se l’ufficio/dipartimento/ team di risorse ha autonomia di budget oppure svolge solamente funzioni di governance/indirizzo/gestione operativa/attività

Question Title

* 10. Può indicarci il numero di risorse dedicate alla Cyber Security? Includere risorse coinvolte in attività di governance, compliance, monitoraggio e gestione:Nel 2017

Question Title

* 11. Nel 2018

Question Title

* 12. Nel 2019 (previsione)

Question Title

* 13. Ritiene la vostra struttura ed il modello organizzativo adottato adeguato a gestire le sfide attuali e future in termini di Cyber Security?

Question Title

* 14. (Se poco o per nulla a domanda precedente) Quali sono le principali motivazioni?

Question Title

* 15. Prevedete un incremento delle risorse dedicate alla Cyber Security nel 2018 o nel 2019?

Question Title

* 16. Quali sono gli ambiti su cui si pensa di incrementare gli skills/competenze?

Question Title

* 17. È presente presso la vostra azienda un Security Operation Center?

Question Title

* 18. Se sì, indicare per ogni servizio se è svolto solo internamente, sia internamente sia esternamente, solo esternamente. Se non presente lasciare in bianco.

Question Title

* 19. Disponete di un team di threat intelligence?

Question Title

* 20. Quali ambiti sono oggetto delle attività di threat intelligence?

Question Title

* 21. Per la Cyber Security Governance utilizzate degli standard o dei modelli di riferimento? Su quali siete certificati?

Question Title

* 22. Come giudica il grado di copertura degli asset e degli ambienti critici della vostra azienda relativamente a: Controllo degli accessi a sistemi ed applicazioni

Question Title

* 23. Come giudica il grado di copertura degli asset e degli ambienti critici della vostra azienda relativamente a: Controllo delle reti e delle telecomunicazioni

Question Title

* 24. Come giudica il grado di copertura degli asset e degli ambienti critici della vostra azienda relativamente a: Controllo della sicurezza dei sistemi

Question Title

* 25. Come giudica il grado di copertura degli asset e degli ambienti critici della vostra azienda relativamente a: Protezione dei dati

Question Title

* 26. Come giudica il grado di copertura degli asset e degli ambienti critici della vostra azienda relativamente a: Protezione da malware ed APT

Question Title

* 27. Come giudica il grado di copertura degli asset e degli ambienti critici della vostra azienda relativamente a: Controlli sulla sicurezza del software

Question Title

* 28. Come giudica il grado di copertura degli asset e degli ambienti critici della vostra azienda relativamente a: Controlli periodici del livello di affidabilità delle protezioni

Question Title

* 29. Come giudica il grado di copertura degli asset e degli ambienti critici della vostra azienda relativamente a: Architetture di continuità di servizio

Question Title

* 30. Disponete di capacità di cyber intelligence?

Question Title

* 31. Le vulnerabilità rilevate dalla funzione di Cyber Security sono valutate per mezzo di un approccio Risk based?

Question Title

* 32. Indicare rispetto a quali minacce è svolto l’approccio risk based

Question Title

* 33. Avete adottato o state valutando di utilizzare soluzioni machine learning based, in grado di analizzare e correlare più fonti ed ambienti, ed incrementare il livello di Cyber Security?

Question Title

* 34. Nello sviluppo di software avete adottato modelli nell’ottica Security-by-Design (approccio ai controlli di sicurezza che formalizza la progettazione, pianifica i controlli di sicurezza e ottimizza l'auditing)?

Question Title

* 35. (Solo per alcuni settori) Nell’adozione di dispositivi IoT/connessi richiedete ai fornitori modelli di sviluppo nell’ottica Security-by-Design?

Question Title

* 36. Quali ambienti sono oggetto delle attività di penetration testing e vulnerability assessment?

Question Title

* 37. Siete in grado di tracciare un incidente informatico subito?

Question Title

* 38. Nel caso in cui l’attacco abbia avuto effetto, come è stato gestito?

Question Title

* 39. In che modo valutate e monitorate la reale capacità di identificazione di un attacco ricevuto dalla vostra azienda e la relativa capacità di reazione?

Question Title

* 40. Avete adottato una copertura assicurativa per proteggere la vostra realtà dai rischi informatici connessi?

* 10. Può indicarci il numero di risorse dedicate alla Cyber Security? Includere risorse coinvolte in attività di governance, compliance, monitoraggio e gestione:

Nel 2017

* 22. Come giudica il grado di copertura degli asset e degli ambienti critici della vostra azienda relativamente a:

Controllo degli accessi a sistemi ed applicazioni

* 23. Come giudica il grado di copertura degli asset e degli ambienti critici della vostra azienda relativamente a:

Controllo delle reti e delle telecomunicazioni

* 24. Come giudica il grado di copertura degli asset e degli ambienti critici della vostra azienda relativamente a:

Controllo della sicurezza dei sistemi

* 25. Come giudica il grado di copertura degli asset e degli ambienti critici della vostra azienda relativamente a:

Protezione dei dati

* 26. Come giudica il grado di copertura degli asset e degli ambienti critici della vostra azienda relativamente a:

Protezione da malware ed APT

* 27. Come giudica il grado di copertura degli asset e degli ambienti critici della vostra azienda relativamente a:

Controlli sulla sicurezza del software

* 28. Come giudica il grado di copertura degli asset e degli ambienti critici della vostra azienda relativamente a:

Controlli periodici del livello di affidabilità delle protezioni

* 29. Come giudica il grado di copertura degli asset e degli ambienti critici della vostra azienda relativamente a:

Architetture di continuità di servizio

* 69. Quanto ritenete che le diverse tipologie di fornitori possano rispondere alle esigenze in ambito Cyber Security?

Start-up innovative