A cura di Giulio Vada, Country Manager di G DATA Italia
I numerosi partecipanti ad una recente indagine si sono detti sereni in merito alla strategia di cybersecurity adottata nella propria azienda. Alla luce dei recenti casi di violazione dei dati, però, questa fiducia pare malriposta. Alla fine del tunnel comunque si intravede una luce: governi e aziende tributano alla sicurezza informatica una crescente attenzione e all’interno delle grandi aziende la consapevolezza delle minacce è aumentata considerevolmente, ma purtroppo non in modo uniforme.
Nel quadro dello studio intitolato Building Confidence – The Cybersecurity Conundrum, Accenture ha condotto un sondaggio con 2000 responsabili di cybersecurity in merito alla rispettiva percezione del livello di sicurezza complessivo della propria azienda. Il numero di intervistati che afferma di avere molta fiducia nelle strategie adottate è impressionante. La maggior parte delle aziende coinvolte nell’indagine conferma altresì di essere riuscita a modificare la cultura aziendale integrandovi con successo una maggiore attenzione verso la sicurezza con il sostegno del rispettivo top management.
Compliance vs. Sicurezza
Premesse più che rosee, se non fosse per l’allarmante aumento del numero di casi di data breach. Questa dicotomia tra la sensazione di sicurezza percepita e la reale capacità di un’azienda di affrontare le minacce è probabilmente dovuta a un impiego errato degli strumenti di governance della sicurezza e a una errata allocazione del relativo budget. Nel momento cruciale le organizzazioni paiono porsi e rispondere alle domande sbagliate. Tra queste i quesiti più pressanti sono “qual è la posta in gioco” e “in cosa dobbiamo investire”, ma entrambe le domande necessitano di una risposta che contempli la messa in sicurezza dei propri asset. La conseguenza di tutto ciò è che le aziende hanno serie difficoltà nel bloccare attività fraudolente e a prevenire attivamente la violazione dei propri dati. Secondo lo studio, circa un terzo dei tentativi mirati a rendere inefficaci le misure di sicurezza adottate per garantirsi accesso indebito ai dati ha successo. I problemi più comuni fanno capo alla modalità di investimento delle aziende e all’approccio alla sicurezza che ne deriva: a volte l’impellente necessità di essere conformi alle normative va in conflitto con una mitigazione efficace dei rischi informatici che potrebbero avere conseguenze ben più negative per l’azienda. La compliance richiede grandi sforzi economici e organizzativi, ma non protegge l’azienda.
Strategie efficaci
Quindi cosa può fare un’organizzazione quando si confronta con questi temi? Abbiamo già sottolineato che l’approccio a “cerotto” adottato dai più nei confronti della sicurezza informatica è una piaga. Una valutazione approfondita dei rischi è l’unico modo per affrontare il problema, al contrario di strategie atte a risolvere singole criticità e in quanto tali prive di una visione d’insieme. Sorprendentemente la maggior parte delle aziende non conosce neanche il reale valore degli asset da proteggere. Una moderna cultura della gestione del rischio permetterebbe ai team deputati alla sicurezza di identificare i rischi e condurre una semplice analisi costi/benefici per valutare l’utilità di qualsiasi investimento in una specifica misura di sicurezza.
Ciò che dà da pensare è la grave carenza di iniziative di formazione. L’acquisizione di competenze sulla sicurezza è essenziale e dovrebbe essere una delle aree in cui investire molto al fine di incrementare il livello di consapevolezza dei singoli impiegati. Gli stessi impiegati andrebbero visti come “consumatori” della sicurezza. Un impiegato ben preparato può fornire supporto ai team di sicurezza e contribuisce ad incrementare la fiducia nelle misure adottate dall’organizzazione. Peraltro, se gli impiegati sono sufficientemente informati e consci degli indicatori, possono aiutare ad identificare e prevenire incidenti di sicurezza. Il coinvolgimento attivo degli impiegati nella sicurezza potenzierà senza dubbio il livello di protezione complessivo dell’organizzazione.
Quindi, per finire, un incremento della fiducia nella sicurezza va benissimo, fintanto che l’azienda è davvero pronta a rispondere alle minacce informatiche e a raggiungere un livello di maturità superiore.
