I 7 fattori chiave per aumentare la resilienza della sicurezza
È uno scenario allarmante quello che emerge dal Security Outcomes Report, Volume 3: Achieving Security Resilience, studio che Cisco ha realizzato intervistando 4.700 soggetti sparsi in 26 Paesi fra cui l’Italia e grazie a cui è stato possibile identificare 7 fattori di successo in grado di aumentare la resilienza della sicurezza aziendale.
Prima di tutto un po’ di dati. Il 65% delle aziende Italiane ha subito conseguenze negative sul proprio business a causa di un attacco informatico. Nello specifico il 37,7% ha subito violazioni di rete o dei dati, il 40,8% interruzioni di rete o di sistema, il 36,2% ha conosciuto da vicino i danni di un ransomware e il 60% ha dovuto far fronte ad attacchi distributed denial of service. Tutti eventi che hanno comportato nel loro complesso un’interruzione dell’operatività e delle comunicazioni (EMEA: 62,6%), disservizi nella supply chain (EMEA: 43%), compromissione delle attività interne (EMEA: 41,4%) e della reputazione del brand (EMEA: 39,7%).
I 7 fattori di successo per la resilienza della sicurezza
Lo studio si basa su una metodologia che genera un punteggio di resilienza della sicurezza per le aziende intervistate, identificando 7 fattori di successo supportati da dati che, se assenti, posizionano le aziende nell’ultimo 10° percentile dei performer mentre, se presenti, le fanno salire nel 90° percentile.
Mentre la ricerca dello scorso anno era riuscita ad analizzare le architetture, le tecnologie e le strategie operative che portano ad avere aziende più resilienti, l’edizione del 2022 riprende il discorso concentrandosi sui fattori culturali, ambientali e sulle soluzioni che le aziende devono adottare per raggiungere la resilienza della sicurezza. La sicurezza è qualcosa infatti che riguarda la sfera umana, poiché la leadership, la cultura aziendale e le risorse hanno un impatto considerevole sulla resilienza:
- Le aziende che segnalano uno scarso supporto da parte della C-suite in materia di sicurezza hanno ottenuto un punteggio inferiore del 39% (EMEA) rispetto a quelle che godono di un significativo supporto da parte dei dirigenti.
- Le aziende che promuovono una cultura della sicurezza hanno ottenuto un punteggio medio del 46% (EMEA), superiore a quelle che non lo fanno.
- Le aziende che impiegano personale e risorse interne aggiuntive per rispondere agli incidenti di sicurezza hanno ottenuto un incremento del 15% (EMEA) nei risultati di resilienza.
- Le aziende devono prestare inoltre attenzione alla complessità nel passaggio da ambienti on-premise ad ambienti completamente basati sul cloud. Le aziende nell’area EMEA le cui infrastrutture tecnologiche sono prevalentemente on-premise o basate sul cloud hanno ottenuto, a pari livello, i punteggi di resilienza della sicurezza più alti. Tuttavia, le aziende che si trovano nelle fasi iniziali di transizione da un ambiente on-premise a un ambiente cloud ibrido hanno registrato un calo del punteggio tra l’8,5% e il 14%, a seconda della difficoltà di gestione degli ambienti ibridi.
L’adozione di soluzioni avanzate di sicurezza ha inoltre avuto un impatto significativo sui risultati di resilienza:
- Le aziende che hanno dichiarato di aver adottato un modello zero trust evoluto hanno ottenuto un aumento del 30% (EMEA) del punteggio di resilienza rispetto a quelle che non l’hanno implementato.
- Le funzionalità avanzate di rilevamento e risposta hanno portato a un aumento del 45% (EMEA) del punteggio di resilienza rispetto alle aziende che hanno dichiarato di non avere tali soluzioni.
- La convergenza delle tecnologie di rete e sicurezza in un sistema SASE (secure access services edge) distribuito in cloud ha migliorato i punteggi di resilienza della sicurezza del 27% (EMEA).