Non c'è pace per i responsabili della sicurezza e i manager che hanno la responsabilità di dati sensibili. Se si viene a sapere continuamente di nuove effrazioni e furti di dati sensibili, e molte vengono accuratamente insabbiate, a mettere ulteriormente in guardia è un nuovo report realizzato da BT e KPMG che ha analizzato le minacce emergenti messe in atto da imprese del crimine informatico altamente organizzate e orientate al profitto.
I dati emersi non sono incoraggianti, o meglio, sembrano esserlo per i criminal cibernetici. Business is business, viene da dire, da qualsiasi punto di vista lo si osservi.
Dati del rapporto alla mano, solo un quinto dei responsabili IT delle grandi multinazionali è convinto che la loro organizzazione sia pienamente preparata ad affrontare una minaccia messa in atto dal cybercrime. La stragrande maggioranza delle aziende, nel rispondere agli attacchi si sente poi limitata dalle regolamentazioni, dalle risorse disponibili e dal fatto di dipendere da terze parti.
Dati allarmanti e aziende indifese
Il rapporto, dal titolo “Passare all’offensiva - Lavorare insieme per bloccare il crimine digitale”, ha rilevato che, mentre il 94% dei decisori IT sono consapevoli del fatto che i criminali prendono iniziative per ricattare e corrompere i dipendenti allo scopo di ottenere l'accesso alle organizzazioni, circa la metà (il 47 per cento) ammette di non avere in atto una strategia per impedirlo.
Il rapporto rileva inoltre che il 97 per cento degli intervistati ha subito un attacco, e che la metà di loro ha segnalato un incremento negli ultimi due anni. Allo stesso tempo, il 91% degli intervistati ritiene di trovarsi ad affrontare difficoltà nella difesa dagli attacchi digitali; molti citano ostacoli normativi, e il 44% afferma di essere preoccupato dalla dipendenza da terze parti per aspetti legati alla loro capacità di risposta.
"Con un cryber crime in continua espansione, è necessario un nuovo approccio al rischio digitale, e questo significa mettersi nei panni di chi porta avanti gli attacchi. Le aziende hanno bisogno non solo di difendersi dagli attacchi informatici, ma anche di creare problemi alle organizzazioni criminali che li lanciano. Dovrebbero certamente lavorare a più stretto contatto con le forze dell'ordine, oltre a partner nel mercato della sicurezza informatica", ha commentato i dati emersi Mark Hughes, CEO di Security, BT.
Il rapporto BT-KPMG dimostra che i Chief Digital Risk Officer (CDRO) vengono ora chiamati a ricoprire ruoli strategici che combinano expertise digitale con capacità di management di alto livello.
Con il 26% degli intervistati che confermano che nella loro azienda è già stato nominato un Chief Digital Risk Officer, i dati del rapporto suggeriscono, evidenzia BT, che il ruolo della sicurezza e le relative responsabilità sono in fase di riesame.
Riconsiderare le decisioni sui budget
La ricerca sottolinea anche la necessità di rivedere i budget e come sono gestiti e assegnati. In proposito, il 60% dei decisori che segnalano come la sicurezza informatica della propria organizzazione sia attualmente finanziata attraverso il budget IT centrale,mentre la metà ritiene opportuno avere un budget di sicurezza separato.
Un punto importante identificato nel report è la portata e l’entità della spesa in R&D che i criminali possono sostenere per superare le difese delle aziende che hanno nel mirino.
Il documento cita diffusamente un ampio insieme di Direttori Sicurezza di ben note organizzazioni globali ed elenca esempi delle molte forme di attacchi criminali in cui sono incorse, inclusi diversi tipi di malware o attacchi di phishing.
Descrive anche i modelli di business preferiti dai criminali e dal mercato nero di cui fanno parte, sia che portino avanti attacchi mirati di fascia alta al sistema finanziario o attacchi ad imprese ed individui ad alto reddito, o anche attacchi massivi che possono interessare tutti noi.
"Parlare genericamente di rischio informatico non aggiunge alcuna informazione. Occorre pensare a credibili scenari di attacco ai danni dell’azienda e considerare come la sicurezza informatica, il controllo delle frodi, e la resilienza del business possano lavorare insieme per prevenire e affrontare queste minacce. Se si procede in questo modo la sicurezza informatica può diventare una primaria strategia aziendale, una componente essenziale per fare business nel mondo digitale", ha suggerito. Paul Taylor, UK Head of Cyber Security di KPMG.
Senza che sia necessario leggerlo tra le righe le conclusioni della ricerca indicano la necessità di cambiare mentalità e di considerare la sicurezza non semplicemente come un esercizio di difesa. A tutti gli effetti, la sicurezza è infatti l’enabler che facilita l'innovazione digitale e, in ultima analisi, garantisce il profitto.