I 10 fattori più importanti nella valutazione del rischio IT

Le preoccupazioni delle aziende riguardo alla sicurezza cyber si sono nell’ultimo anno fatte più pressanti per via del cambio delle priorità di business, dai nuovi ambienti di lavoro remoto dettati dalla pandemia e dallo sviluppo accelerato di nuove tecnologie e servizi digitali.

Questo, in estrema sintesi, emerge dal recente report IT Audit Perspectives: Top Technology Risks in 2021 prodotto dall’azienda di consulenza Protiviti. Lo studio è stato realizzato in collaborazione con Isaca, associazione professionale internazionale di professionisti specializzati in audit IT, ed è basata su un sondaggio condotto tra settembre e ottobre 2020 tra più di 7.400 specialisti in audit in diversi settori.

Le principali preoccupazioni per la sicurezza IT

Il report ha evidenziato le 10 principali preoccupazioni relative all’auditing per il 2021, che sono:

1. Cyber breach
2. Confidenzialità e privacy
3. Conformità normative e regolatorie (compliance)
4. Identità e accesso degli utentiò
5. Gestione degli incidenti di sicurezza IT
6. Disaster recovery
7. Governance dei dati
8. Rischi per le terze parti
9. Infrastrutture per il lavoro remoto
10. Rischio di indisponibilità dei servizi

I ricercatori hanno sottolineato che gli staff di audit IT, specialmente quelli nelle aziende più mature dal punto di vista digitale, stanno usando approcci più dinamici e che vengono adattati in tempo reale per l’assessment del rischio. Questo permette di rispondere in modo più rapido e agile a un panorama di rischio che è sempre più variabile, anche per le sfide poste dalla pandemia.

I digital leader e la valutazione del rischio IT

Nel campione analizzato, i “digital leader”, aziende con forte propensione all’innovazione che hanno dato prova di saper adottare tecnologie emergenti per il lancio di nuovi servizi digitali, considerano i rischi in maniera diversa rispetto aziende più tradizionali e con un più basso livello di maturità in fatto di trasformazione digitale.

La survey ha dimostrato che i digital leader si distinguono per eseguire valutazioni e audit più frequenti per quanto riguarda il rischio tecnologico, anche per via dell’adozione di metodi di lavoro più agili e una maggior integrazione e utilizzo di dati e tecnologie.

Sfortunatamente, la maggioranza delle aziende (67%) non si considera “digital leader”, e l’11% di queste non effettua alcun risk assessment.

Se per la maggior parte delle aziende i dieci principali rischi sono più o meno gli stessi, gli indici di rischio sono più alti per le aziende più digitalizzate. Ciò è dovuto a vari fattori, come la presenza di ambienti più complessi dal punto di vista tecnologico e un più intenso utilizzo di tecnologie come cloud, automazione intelligente, Internet of Things, intelligenza artificiale e machine learning.

Ancora troppe aziende sottovalutano il rischio IT

In generale, la maggior parte delle aziende sembra essere consapevole dell’importanza di misurare il rischio IT: quasi due terzi delle aziende intervistate (61%) confermano di aver identificato e quantificato il rischio tecnologico ai fini dei piani di audit sulla valutazione del rischio complessivo. Il rovescio della medaglia è che il 39% dei rispondenti non lo stanno considerando, il che è fonte di preccupazione.

Bogdan Botezatu, Director Threat Research & Reporting di Bitdefender.

“Le aziende devono avere visibilità sulla struttura tecnologica per poter efficacemente identificare e quantificare i rischi”, nota Andrew Struthers-Kennedy, managing director di Protiviti e a capo della divisione IT Audit. “L’improvvisa transizione al lavoro da remoto e la generale discontinuità percepita da molti utenti ha dimostrato l’importanza di identificare i rischio IT su base più ampia e frequente”, ha dichiarato.

La sicurezza informatica è una preoccupazione principale per le aziende, indipendentemente dal settore industriale e dalla posizione geografica. L’80% dei rispondenti circa ha dichiarato che intende affrontare questi rischi nei propri piani di audit nel 2021.

Oltre la valutazione: cosa si può fare per la prevenzione

“Governare e gestire rischi così sfaccettati richiede di sfruttare tecnologie molto diversificate e stratificate, ma è essenziale che tutte riportino a un unico punto di rilevamento e controllo che offra visibilità su tutte le criticità: endpoint, ambienti virtualizzati, rete, dispositivi mobile e BYOD – afferma Bogdan Botezatu, Director, Threat Research & Reporting di Bitdefender – e questo è quel che abbiamo fatto in Bitdefender negli ultimi 11 anni”.

Uno dei problemi incontrati più di frequente riguarda i data breach che spesso seguono a un attacco malware. Una soluzione di sicurezza stratificata che includa anti malware e Endpoint Detection and Response è in grado di bloccare (o almeno rilevare) le attività sospette su un ampio spettro di dispositivi differenti (permettendo di garantire confidenzialità e privacy), sistemi operativi e hypervisor, permettendo di adottare soluzioni cloud mantenendo una gestione unificata. Integrandosi poi con strumenti SIEM consentirà di avere una valutazione puntuale del rischio e minimizzare i punti ciechi tra endpoint e comportamento degli utenti.

Scopri di più sulle soluzioni e i servizi di cybersecurity per aziende di Bitdefender