È un dato di fatto che oggi proteggersi dagli attacchi di cyber security non significa solo cercare di evitare di esserne vittima, ma anche saper reagire velocemente alle minacce che superano i sistemi di protezione. Splunk, che ormai può essere definita la divisione di sicurezza di Cisco, lo ha voluto provare nel concreto pubblicando il rapporto globale “The Hidden Costs of Downtime”, che evidenzia costi diretti e occulti causati dai tempi di inattività inattesi, come quelli causati da un attacco.

Realizzata in collaborazione con Oxford Economics, l’indagine ha rivelato che per le aziende Global 2000 il costo totale dei tempi di inattività causato dal disservizio imprevisto degli ambienti digitali è di 400 miliardi di dollari l’anno, pari al 9% dei profitti. Questa però è solo la punta dell’iceberg perché le conseguenze dei tempi di inattività vanno oltre i costi finanziari immediati (costi diretti), impattando a lungo sul valore azionario di un’azienda, sulla reputazione del marchio, sulla velocità di innovazione e sulla fiducia dei clienti (costi indiretti).

Basato su 2.000 interviste a dirigenti, il rapport ha evidenziato anche il dettaglio le cause principali dei tempi di inattività: il 56% di tali eventi è dovuto a problematiche legate alla sicurezza, come gli attacchi di phishing, mentre il 44% deriva da problemi di applicazioni, infrastrutturali o al software. L’errore umano è identificato come la causa principale dei tempi di inattività in entrambi gli scenari.

Ridurre tempi di inattività e costi

Esistono però pratiche che possono ridurre i tempi di inattività e i relativi costi. Le aziende più resilienti, che rappresentano il top 10% del campione, adottano l’intelligenza artificiale generativa a un tasso quattro volte superiore rispetto alle altre, dimostrando una maggiore capacità di ripristino rapido e un impatto minimo dai costi indiretti.

Il nostro report ha rivelato che i costi diretti sono il fattore principale delle perdite aziendali dovute ai tempi di inattività, con un impatto significativo sui ricavi annuali”, ha affermato Tom Casey, VP e GM dei prodotti e delle technologie in Splunk. “Tuttavia, le aziende che monitorano e risolvono rapidamente i problemi risparmiano in media 17 milioni di dollari, recuperando più velocemente dai downtime”.

Le ripercussioni dei tempi di inattività non sono limitate a un singolo reparto o centro di costo e ci potrebbero volere 75 giorni per recuperare le perdite. Non solo. In occasione di un attacco ransomware, il 67% dei CFO intervistati ha suggerito al proprio CEO e al consiglio di amministrazione di pagare il riscatto direttamente al criminale informatico, o attraverso un’assicurazione, una terza parte o tutti e tre i soggetti. La combinazione di ransomware ed estorsioni è stata valutata 19 milioni di dollari all’anno.

Il 67% dei CFO intervistati ha suggerito al proprio CEO e al consiglio di amministrazione di pagare il riscatto ai criminali

Il 74% dei responsabili IT intervistati ha anche riscontrato ritardi nel time-to-market e il 64% ha rilevato un rallentamento della produttività degli sviluppatori causato dai tempi di inattività. Qualsiasi disservizio spesso porta i team a passare da un lavoro ad alto valore all’applicazione di patch software e a partecipare alle analisi post-mortem.

A livello globale, il costo medio annuale dei tempi di inattività è più alto per le aziende statunitensi (256 milioni di dollari) rispetto alle controparti nel resto del mondo. Il costo dei tempi di disservizio in Europa raggiunge i 198 milioni di dollari e i 187 milioni di dollari nella regione Asia-Pacifico (APAC). In Europa, dove la supervisione della forza lavoro e la regolamentazione informatica sono più severe, le organizzazioni sostengono maggiori costi relativi agli straordinari (12 milioni di dollari) e per il ripristino dai backup (9 milioni di dollari). Anche la velocità con cui un’organizzazione è in grado di riprendersi finanziariamente dopo l’incidente cambia in base all’area geografica. L’Europa e l’APAC registrano infatti i maggiori tempi di recupero.

L’importanza di condividere strategie comuni

Le aziende che si riprendono più velocemente da tempi di inattività condividono strategie comuni che offrono un modello in termini di resilienza digitale. Inoltre, preferiscono focalizzarsi su una migliore strategia piuttosto che aumentare gli investimenti. Le strategie comuni condivise prevedono di investire in sicurezza e observability, avere un livello di maturità superiore in termini di adozione dell’IA generativa, recuperare più velocemente (il tempo medio di ripristino – MTTR – dai tempi di inattività relativi alle applicazioni o all’infrastruttura è più veloce del 28% rispetto alla maggior parte degli intervistati e del 23% rispetto agli incidenti di cybersecurity), ridurre costi nascosti (la maggior parte dei leader della resilienza non subisce danni derivanti da costi nascosti, oppure li considera “moderati”) ed evitare i danni finanziari (riducono i pagamenti ransomware di 7 milioni di dollari).

Un aiuto a rendere più efficaci gli investimenti

Dal canto suo, Splunk cerca di contribuire a rendere più efficaci gli investimenti in sicurezza e observability. Assieme a Cisco sta infatti lavorando per unificare i prodotti, consentendo di riunire Splunk Observability Cloud e Cisco AppDynamics all’interno di un’interfaccia comune. A partire da luglio, i clienti potranno utilizzare un singolo set di credenziali per accedere a Cisco AppDynamics e a tutte le proprietà Splunk. Inoltre, arriverà anche Log Observer Connect per Cisco AppDynamics, che permette di collegarsi direttamente dai log di AppDynamics a Splunk, facilitando il troubleshooting senza dover avviare nuove ricerche.

Abbiamo integrato direttamente IT Service Intelligence con AppDynamics, permettendo di ricevere avvisi e notifiche di variazioni metriche senza dover importare tutti i dati – ha precisato Tom Casey –. Questo rende il processo di troubleshooting più fluido, con la possibilità di un collegamento diretto tra Splunk e AppDynamics”.

Più in dettaglio, Splunk ha introdotto una serie di strumenti avanzati di intelligenza artificiale progettati per accelerare le attività quotidiane delle organizzazioni e migliorare la rapidità con cui ottengono insight dai dati. I nuovi assistenti di AI generativa di Splunk, che saranno integrati in Observability Cloud e Security, permettono di migliorare significativamente la visibilità IT e la capacità di mitigazione proattiva delle minacce informatiche. Splunk AI Assistant per SPL consente, inoltre, di ottenere informazioni utilizzando il linguaggio naturale. Tra le nuove funzionalità AI per l’IT Service Intelligence (ITSI), spiccano il Configuration Assistant e la Drift Detection per i KPI, oltre alle Adaptive Thresholds a livello di entità per un rilevamento più accurato.

Splunk rafforza la sicurezza

Splunk ha reso noti anche importanti innovazioni in materia di sicurezza. Tra queste, Splunk Enterprise 8.0, che “consente ai team di security di gestire proattivamente i rischi”, e la nuova funzione di Federated Analytics, che “permette di analizzare i dati direttamente ovunque sono archiviati, a partire da Amazon Security Lake, per migliorare il rilevamento delle minacce“. Con l’integrazione di Mission Control, Splunk Enterprise Security 8.0 semplifica il rilevamento, l’investigazione e la risposta alle minacce tramite un’interfaccia unificata. Grazie all’automazione tramite Splunk SOAR, il triage degli alert e le indagini vengono accelerati, migliorando il rilevamento con analisi avanzate.

Splunk ha annunciato anche il debutto del portfolio Data Management per l’invio, la condivisione e l’elaborazione dei dati attraverso Splunk Cloud Platform e Splunk Observability Cloud. E questo potendo avere una visibilità unificata in tutta l’organizzazione e una proprietà dei dati più completa. Il portfolio offre i Pipeline Builders, compresi Edge Processor (aumenta il controllo sui dati prima che lascino i confini della rete) e Ingest Processor per la gestione delle pipeline, il filtraggio, il mascheramento, la trasformazione e l’arricchimento dei dati.