I partecipanti ad una recente indagine si sono dichiarati sereni in merito alla strategia di cybersecurity adottata nella propria azienda. Qualche dubbio in proposito appare però legittimo, soprattutto alla luce dei recenti casi di violazione dei dati anche molto sensibili.
In sostanza, osserva Giulio Vada, Country Manager di G Data per l'Italia, questa fiducia pare in non pochi casi malriposta.
La situazione è ben evidenziata dallo studio intitolato Building Confidence - The Cybersecurity Conundrum, realizzato da Accenture, che ha condotto un sondaggio a cui hanno partecipato 2000 responsabili di cybersecurity in merito alla rispettiva percezione del livello di sicurezza complessivo della propria azienda.
Il numero di intervistati che afferma di avere molta fiducia nelle strategie adottate è impressionante. La maggior parte delle aziende coinvolte nell'indagine conferma altresì di essere riuscita a modificare la cultura aziendale integrandovi con successo una maggior attenzione verso la sicurezza con il sostegno del rispettivo top management.
Compliance e Sicurezza
Premesse più che rosee, osserva Vada, se non fosse per l'allarmante aumento del numero di casi di data breach verificatasi nell'ultimo anno.
In sostanza, si è in presenza di una vera e propria dicotomia tra la sensazione di sicurezza percepita e la reale capacità di un'azienda di affrontare le minacce e ciò è probabilmente dovuta a un impiego errato degli strumenti di governance della sicurezza e a una errata allocazione del relativo budget.
Nel momento cruciale, mette in guardia il manager di G Data, le organizzazioni paiono porsi e rispondere alle domande sbagliate. Tra queste i quesiti più pressanti sono "qual è la posta in gioco" e "in cosa dobbiamo investire", ma entrambe le domande necessitano di una risposta che contempli la messa in sicurezza dei propri asset.
La conseguenza di questa linea di pensiero è che le aziende si trovano a sperimentare serie difficoltà nel bloccare attività fraudolente e a prevenire attivamente la violazione dei propri dati. Secondo lo studio d Accenture, circa un terzo dei tentativi mirati a rendere inefficaci le misure di sicurezza adottate per garantirsi accesso indebito ai dati ha successo.
I problemi più comuni fanno capo alla modalità di investimento delle aziende e all'approccio alla sicurezza che ne deriva: a volte l'impellente necessità di essere conformi alle normative va in conflitto con una mitigazione efficace dei rischi informatici che potrebbero avere conseguenze ben più negative per l'azienda.
La compliance richiede grandi sforzi economici e organizzativi, ma non per questo e da sola protegge adeguatamente l'azienda.
In primis la Strategia e la formazione
L'approccio che Vada suggerisce consiste nel partire con una valutazione approfondita dei rischi, l'unico modo per affrontare il problema, al contrario di strategie atte a risolvere singole criticità e in quanto tali prive di una visione d'insieme, soprattutto in presenza di attacchi che fanno sempre più affidamento su diversi vettori per penetrare le difese aziendali.
Sorprendentemente però la maggior parte delle aziende non conosce neanche il reale valore degli asset da proteggere.
Una moderna cultura della gestione del rischio permetterebbe altresì ai team deputati alla sicurezza aziendale di identificare i rischi e condurre una semplice analisi costi/benefici al fine dir valutare correttamente l'utilità di qualsiasi investimento in una specifica misura di sicurezza.
Ciò che dà da pensare è la carenza di iniziative di formazione. Gli stessi impiegati andrebbero visti come "consumatori" della sicurezza. Un impiegato ben preparato può fornire supporto ai team di sicurezza e contribuire ad incrementare la fiducia nelle misure adottate dall'organizzazione.
Il coinvolgimento attivo degli impiegati nella sicurezza può contribuire efficacemente ad elevare il livello di protezione complessivo dell'organizzazione. Un incremento della fiducia nella sicurezza quindi va benissimo, ma solo se l'azienda è davvero pronta a rispondere alle minacce informatiche e a raggiungere un livello di maturità superiore.