Le dimensioni non contano in materia di cybersicurezza
RSA, la Security Division di EMC, ha pubblicato la prima edizione del Cybersecurity Poverty Index, realizzato sulla base di interviste a oltre 400 professionisti di sicurezza di 61 Paesi, inclusa l’Italia. La ricerca ha permesso ai partecipanti di valutare autonomamente il grado di maturità dei programmi di cybersicurezza adoperando come metro di misura il NIST Cybersecurity Framework (CSF).
Questo studio fornisce una preziosa panoramica mondiale sulla maturità e sulle misure di sicurezza all’interno di aziende differenti per dimensioni, settori e aree geografiche. Di solito si è portati a pensare che le grandi aziende abbiano risorse particolarmente adatte a implementare una cyberdifesa efficace, ma i risultati della ricerca indicano come le dimensioni non siano affatto un fattore determinante ai fini della maturità della cybersicurezza; inoltre, quasi il 75% di tutto il campione intervistato ammette livelli insufficienti di maturità in questo ambito.
Numerose aziende intervistate hanno infatti registrato negli ultimi dodici mesi incidenti di sicurezza con conseguenti perdite o danni operativi. L’area dove la sicurezza appare più matura è quella della prevenzione, nonostante la consapevolezza che questa non sia sufficiente da sola a contrastare gli attacchi più avanzati e sofisticati. Il punto più debole espresso delle aziende intervistate risiede invece nella capacità di misurare, valutare e mitigare i rischi di cybersicurezza: ben il 45% del campione descrive infatti le proprie capacità in quest’ambito come inesistenti e solo il 21% si reputa maturo. Simili percentuali rendono molto difficile prioritizzare le attività e gli investimenti in sicurezza.
La ricerca evidenzia inoltre come le dimensioni di un’azienda non corrispondano automaticamente a un’effettiva maturità, tanto che l’83% delle aziende intervistate – con oltre 10.000 dipendenti – valuta le proprie capacità poco sviluppate in termini di maturità complessiva.
il grado di maturità riportato dalle aziende che si trovato nelle Americhe è minore rispetto a quello delle regioni APJ ed EMEA
Stupiscono poi i risultati emersi dal segmento delle aziende operanti nel settore finanziario, un comparto frequentemente citato come il più avanzato in termini di maturità in ambito sicurezza; in realtà solo un terzo delle aziende di questo settore si sente preparato. Le società di telecomunicazioni hanno invece riportato il livello più alto, con il 50% che dichiara di aver sviluppato capacità significative, mentre la pubblica amministrazione si è classificata ultima nell’indagine con il solo 18% che ritiene di aver sviluppato competenze di rilievo.
Malgrado il CSF sia stato sviluppato negli Stati Uniti, il grado di maturità riportato dalle aziende che si trovato nelle Americhe è minore rispetto a quello delle regioni APJ ed EMEA. Nell’area APJ (Asia-Pacifico e Giappone) è stato raggiunto il grado di maturità più elevato, con il 39% degli intervistati che si ritiene “sviluppato” o “avvantaggiato” in termini di maturità complessiva; un dato che scende al 26% nell’area EMEA (Europe, Middle-East-Africa) e al 24% nell’area delle Americhe.
“Questa ricerca dimostra come le aziende continuino a investire enormi quantità di denaro nell’ultima generazione di firewall, anti-virus e sistemi di protezione nella speranza di bloccare le minacce avanzate. Eppure nonostante questi investimenti, anche le aziende più grandi si sentono inadeguate a gestire i problemi di cybersicurezza. Siamo convinti che questa dicotomia sia il risultato del fallimento di modelli basati sulla prevenzione di fronte a un panorama di minacce sempre più critico. Dobbiamo dunque cambiare il modo in cui pensiamo alla sicurezza e iniziare a riconoscere il fatto che la prevenzione da sola rappresenta una strategia perdente e che un maggior grado di attenzione debba essere dedicato alle attività di monitoraggio e risposta”, ha dichiarato il presidente di RSA Amit Yoran.