Secondo una nuova ricerca della multinazionale della consulenza insufficiente la collaborazione tra CISO e i dirigenti nell’attuazione di piani e definizione di budget per la cybersecurity
Nello studio “Securing the Future Enterprise Today – 2018,” il 73% degli oltre 1.400 dirigenti di C-level intervistati si è detto concorde sul fatto che lo staff e le attività di cybersecurity vadano distribuiti su tutte le aree aziendali, eppure nel 74% delle aziende la sicurezza informatica è ancora centralizzata. Ci sono pochi segnali che i dirigenti di alto livello prevedano di decentralizzare la responsabilità in ambito di security. Oggi solo il 25% dei dirigenti non CISO sostiene che i direttori delle business unit hanno anche responsabilità in materia di sicurezza informatica, e una percentuale altrettanto bassa pensa che dovrebbero averla anche in futuro.
Serve più allineamento sulle procedure strategiche e di protezione
Lo studio ha evidenziato una disparità tra quelle che secondo i dirigenti C-level sono le aree di preoccupazione emergenti e le strategie di sicurezza informatica utilizzate per la protezione. Le aziende, ad esempio, stanno facendo ancora poco per diffondere la cultura della cybersecurity tra i dipendenti e pochissimi CISO hanno l’autorità per influenzare le business unit delle loro organizzazioni. Solo metà degli intervistati dichiara che tutti i dipendenti ricevono formazione sulla sicurezza informatica al momento del loro ingresso nell’organizzazione e che vengono regolarmente sensibilizzati sulla questione nel corso della loro permanenza in azienda. Sorprendentemente, solo il 40% dei CISO dichiara che istituire o ampliare un programma di protezione dalle minacce interne è una priorità assoluta. Solo il 40% dei CISO dichiara di essersi sempre consultato con i direttori delle diverse aree aziendali per capire le esigenze di business prima di proporre un approccio alla sicurezza.
Passare alla cyber resilience
Gus Hunt, già Chief Technology Officer per la CIA e oggi Cyber Strategist di Accenture Federal Services, nel suo intervento a Cybertech Europe 2018, ha parlato di come per le organizzazioni sia imperativo abbandonare la logica della cybersecurity e adottare quella della cyber resilience.
«Nel combattere il cyber crime finora le organizzazioni hanno avuto un approccio puramente reattivo. Oggi l’87% degli attacchi informatici mirati ai nostri sistemi viene bloccato, eppure ogni anno le organizzazioni subiscono in media ancora 30 violazioni, con un costo medio annuo di quasi 12 milioni di dollari. Il mondo è sempre più connesso e le nuove tecnologie, come l’o, stanno determinando una crescita esponenziale della superficie di attacco. Il nostro attuale approccio non ci porterà lontano: dobbiamo cambiare strategia e passare dalla cybersecurity alla cyber resilience, adottando un comportamento proattivo e progettando e costruendo tutti i sistemi in modo che le organizzazioni continuino ad operare malgrado gli attacchi. Bisogna diventare il cacciatore, non il cacciato”, dichiara Gus Hunt, Cyber Strategist di Accenture Federal Services.
«Non possiamo proteggere con successo le nostre infrastrutture critiche finché non affrontiamo la questione del divario tra le organizzazioni che hanno i mezzi finanziari, le risorse e le capacità per investire e proteggere i loro sistemi le piccole e medie aziende che interagiscono con le grandi, ma non hanno i mezzi per garantire la sicurezza ai livelli necessari. Il risultato è che gli attacchi alle infrastrutture critiche arrivano proprio da queste terze parti, che costituiscono un punto di vulnerabilità molto appetibile per il crimine informatico. Il modo più efficace di rafforzare la sicurezza e la resilienza delle nostre infrastrutture critiche è quindi quello di colmare questo divario».
Costruire una resilienza pervasiva
Lo studio di Accenture raccomanda cinque azioni da intraprendere per garantire resilienza:
1. Fare dei propri leader aziendali dei leader di cyber resilience. La security deve essere tenuta in considerazione quando si definisce la strategia al fine di indirizzare le azioni necessarie a ridurre il rischio.
2. Sostenere il ruolo di business enabler dei leader della sicurezza informatica. Per implementare una resilienza informatica pervasiva sono necessari nuovi ruoli e nuove competenze all’interno dell’azienda.
3. Fare della forza lavoro una parte della soluzione. Le aziende devono prendere atto che i dipendenti sono tra i primi responsabili della cybersecurity e possono contribuire a aumentare i livelli di sicurezza.
4. Proteggere attivamente i clienti. Al fine di proteggere i dati dei propri clienti le aziende non devono soffermarsi al solo adempimento delle normative vigenti.
5. Assicurare protezione all’intero ecosistema. Bisogna lavorare con i propri partner per proteggere tutta la catena del valore e l’ecosistema in cui l’azienda opera.
I principali rischi informatici: nuove tecnologie e condivisione dei dati
I manager di alto livello vedono nella diffusione delle nuove tecnologie e dei nuovi strumenti un potenziale aumento del rischio informatico per le loro aziende e percepiscono una crescita dei pericoli legati alla condivisione dei dati con terze parti. In cima alla lista c’è l’Internet of Things, a cui il 77% degli intervistati imputa un aumento moderato o significativo del rischio informatico. Per il 74% degli intervistati a elevare il rischio saranno i servizi cloud, eppure solo il 44% dichiara che la propria strategia di sicurezza informatica protegge anche l’ambiente cloud. Più del 70% degli intervistati si aspetta che la condivisione dei dati con partner strategici e terze parti genererà un aumento del rischio, ma solo il 39% afferma che i dati condivisi sono adeguatamente protetti dalla strategia di sicurezza informatica dell’azienda su questo fronte.
Per maggiori approfondimenti su questi temi si può scaricare il report “Securing the Future Enterprise Today – 2018” .
