Predictive Security in the 3rd Platform Era

Nuovi scenari della sicurezza IT
nell’era della Terza Piattaforma
Milano, 11 Marzo 2015

Perché abbiamo bisogno di una nuova
sicurezza IT
© IDC Visit us at IDC.com and follow us on Twitter: @IDC 2

IT Security - Priorità tecnica & di business
O R G A N I Z A T I O N A L R E S T R U C T U R I N G O R M & A A C T I V I T I E S
E N E R G Y E F F I C I E N C Y / G R E E N / S U S T A I N A B I L I T Y
M U L T I C H A N N E L D E L I V E R Y S T R A T E G Y
M A R K E T I N G E F F E C T I V E N E S S I M P R O V E M E N T
S U P P L Y C H A I N / P R O C U R E M E N T E F F I C I E N C Y
P R O D U C T O R S E R V I C E I N N O V A T I O N
I T O R G A N I Z A T I O N C O N T R I B U T I O N T O B U S I N E S S G O A L S
C U S T O M E R C A R E E N H A N C E M E N T
R E D U C I N G O P E R A T I O N A L C O S T S
S A L E S P E R F O R M A N C E I M P R O V E M E N T
R E G U L A T O R Y C O M P L I A N C E
S E N S I T I V E D A T A P R O T E C T I O N
WESTERN EUROPE BUSINESS PRIORITIES
Source: IDC European Vertical Markets Survey, 2014 (n = 1,588)
3
Could you rate the following business initiatives in terms of how much they are leading your company's business agenda for the
next 12 months? (1 = "not at all important" and 5 = "most important")?

Una rassegna inesauribile
Sony Picture
Entertainment
(The Interview, 40GB vs
100TB, Guardian of
Peace, North Korea?)
Infrastrutture
compromesse
(Factoring Attack on Rsa-
Export Keys Vulnerability,
Equation Group)
Social Arena
(Snapchat/iCloud/Twitter,
beware what you share,
reputation is a perishable
asset)
Belgacom
(Regin malware,
European Parliament,
GCHQ/NSA)

Nuovi attaccanti, nuove strategie
5

Lo scenario dei rischi emergenti
Governative
agency
Industrial espionage,
organized crime
Hacktivism
Common
People
Complexity
ofattacks
Frequency
of attacks
Influence-oriented
Resource-oriented
Frequency < 1/10
Frequency > 1/5

Assedio dei sistemi
Statistiche dall’Italia
7
casual
attack
≈ 60%
APT
≈ 10%
relevant
impact
< 5%
(IDC Italia, segmento grandi imprese)

La frequenza degli attacchi
MalwareZero-day
ExploitZero-day
Malwarepolimorfico
Malwarecifrato
Botnet
Socialengineering
Finance
Manufacturing
Commerce
Services
Government
(IDC Italy, Enterprise Segment)
Alta frequenza
Bassa frequenza

Il rischio di esposizione sta
aumentando
Time to
discovery
less than one day
}Mobile, Social, Cloud
add complexity and
increase exposure to
vulnerabilities
Time to
compromise
less than one day

(In)sicurezza:
sensibilità diverse
GOVER
NMENT
MANUFACTU
RING
FINANCE
GOVERNME
NT
SERVICE
MANUFA
CTURING
GOVERN
MENT
COMMER
CE
SERVI
CE
FINAN
CE
Perdita dati personali/
finanziari
Perdita proprietà
intellettuale
Danno alla reputazione
Costo ripristino sistemi
Multe delle autorità
pubbliche

Downtime dei sistemi
Statistiche dall’Italia
11
Commercio
≈ 10%
Industria
≈ 6%
PA
≈ 5%
Non sa!
≈ 30%
(IDC Italia, segmento PMI imprese)

12
Chi è responsabile della sicurezza IT?
Dipartimento IT
generale ≈ 60%
Gruppo
Sicurezza ≈ 30%
Servizio
gestito
≈ 10%

Necessità di espandere le risorse
0.0% 10.0% 20.0% 30.0%
I N S U F F I C I E N Z A D E L B U D G E T D E D I C A T O A L L A S I C U R E Z Z A I T
M A N C A N Z A D I C O N F O R M I T À D E I D I P E N D E N T I A L L E P O L I C Y
S U L L A S I C U R E Z Z A
M A N C A N Z A D I U N A S T R A T E G I A D E L L A S I C U R E Z Z A E D I
P O L I C Y A D E G U A T E
P R E S S I O N E C R E S C E N T E D I A T T A C C H I S E M P R E P I Ù
S O F I S T I C A T I
I N A D E G U A T E Z Z A E R A P I D A O B S O L E S C E N Z A D E L L E
S O L U Z I O N I D I I T S E C U R I T Y
D I F F I C O L T À N E L G A R A N T I R E A L L A S I C U R E Z Z A U N
S U P P O R T O 2 4 X 7
C A R E N Z A D I P E R S O N A L E Q U A L I F I C A T O S U I T E M A D E L L A
S I C U R E Z Z A I T
P R E S S I O N E C R E S C E N T E D E L R E G O L A T O R E P U B B L I C O
QUALI SONO LE PRINCIPALI CRITICITÀ DI SICUREZZA IT
DELLA SUA AZIENDA?
(IDC Italy, 2015, n=110, Mid-large Enterprise)

Investimenti di base
0.0% 10.0% 20.0% 30.0% 40.0%
B U S I N E S S C O N T I N U I T Y & D I S A S T E R R E C O V E R Y
S T R U M E N T I D I S I C U R E Z Z A T R A D I Z I O N A L E
S E R V I Z I D I S I C U R E Z Z A I N T E L L I G E N T E
S E R V I Z I D I S I C U R E Z Z A G E S T I T I
PRIORITÀ DI INVESTIMENTO NEL 2016

Iterative intelligence: imparare dagli
attacchi
Un anno di log in una MNC:
60-100M di eventi analizzati
Dopo analisi dei sistemi:
50-90k tentativi di attacco
Dopo analisi di intelligence:
70-100 incidenti
Da un approccio
reattivo a un
approccio
proattivo,
integrando
capacità
algoritmica con
intelligenza umana

Competenze sempre più sofisticate
New Skills
Advanced
Skills
Basic Skills
• Malware analysis
• Data mining & analysis
• Machine learning
• Project mgmt
• Security Standard
Implementation
• Hacking Practices
• Network Administration
• Scripting/ programming
• Software Vulnerabilities

The rise of Security Market

19
IDC FutureScape
Perspective on Security
IDC’s CIO Agenda
Top 10 Decision Imperatives on IT Security
ORGANIZATIONALIMPACT
TIME (MONTHS) TO MAINSTREAM
Note: The size of the bubble indicates
complexity/cost to address.
Source: IDC, 2014
Asingle
department
orabusinessunit
Multiple
departments
orbusinessunitsCompanywide
0-12 12-24 24+
6
7
4
10
Legend:
1. Risk-based budgeting
2. Biometric ID
3. Threat Intelligence
4. Data Encryption
5. Security SaaS
6. User Management
7. Hardening Endpoints
8. Security as a feature
9. Software Security
10. Executive Visibility
3
5
1
9
8
2

Data Privacy, Compliance, Regulations
New (draft) regulations, cornerstones:
• Data transfers to non-EU countries. Request to the
National Data Protection Authority and to the single
individual.
• Sanctions. Increased 100-fold to "up to €100 million or up
to 5% of annual worldwide turnover, whichever is greater"
• Right to erasure. Data controllers should also forward the
request
• Explicit consent. Customer engagement needs to be
centered on their "opting in“
• Profiling. Profiling would only be allowed subject to a
person’s consent
• Data Protection Officer. Public institutions, companies
processing the data of more than 5,000 people in a year

Concludendo
 Il Web da nuova frontiera (a volte anche Far West …) a
strumento di controllo (una distopia a metà strada tra Orwell e Huxley)
 La Sicurezza non è un prodotto (la tecnologia non
basta), ma una percezione (un processo intersoggettivo)
 Trade-off: tempo medio di risposta vs. security budget rate

Thank you
IDC Italia
Viale Monza 14
20127 Milano
Tel: +39 02 28457339
gvercellino@idc.com
Giancarlo Vercellino
Research & Consulting
Manager
IDC Italy
www.idc.com

Predictive Security in the 3rd Platform Era

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Viewers also liked

Viewers also liked (20)

Similar to Predictive Security in the 3rd Platform Era

Similar to Predictive Security in the 3rd Platform Era (20)

More from IDC Italy

More from IDC Italy (20)

Recently uploaded

Recently uploaded (20)

Predictive Security in the 3rd Platform Era

Editor's Notes