Budget e mancanza di personale frenano la sicurezza aziendale
Gli investimenti e le strategie per la sicurezza aziendale sono sufficienti ad affrontare le minacce cyber di questi tempi? Una domanda alla quale ha cercato di rispondere la diciannovesima dell’EY Global Information Security Survey (GISS) coinvolgendo 1.735 organizzazioni a livello globale. E non si tratta di una risposta positiva.
Dai dati dello studio emerge infatti come solo il 50% degli intervistati a livello globale abbia le capacità per rilevare un attacco informatico sofisticato, mentre l’86% afferma che la propria funzione di cybersecurity non soddisfa ancora pienamente le esigenze dell’organizzazione di cui fa parte, con in più il 42% delle aziende che dichiara di non disporre di una strategia condivisa o di un piano da attuare in caso di un attacco con impatti significativi.
Colpisce anche il 34% in più rispetto al 2015 quando si parla di strumenti obsoleti per il controllo della cybersecurity e delle architetture di sicurezza che vanno a costituire la maggior vulnerabilità per la propria organizzazione.
Un quadro globale in cui l’Italia se la cava ancora peggio, con ben il 97% delle aziende che dichiara di avere una funzione di cybersecurity non soddisfacente e con il 65% che non dispone di un programma formale e strutturato di Threat Intelligence, mentre quasi la metà non possiede metodi e strumenti tecnologici adeguati per identificare le vulnerabilità.
Sempre in Italia si è assistito nell’ultimo anno a un aumento significativo di minacce dovute ad attacchi dall’interno dell’organizzazione, a zero-day e a malware e, di conseguenza, si avverte sempre di più sia l’esigenza di strumenti di intelligence evoluti, sia un maggior controllo di quanto avviene al proprio interno. La ricerca rivela come il 69% delle aziende italiane intervistate abbia subito un attacco rilevante nell’ultimo anno, ma di queste solo il 28% ha rilevato gli attacchi grazie al SOC (Security Operation Center) aziendale.
Gli ostacoli a una crescita delle funzioni aziendali preposte alla sicurezza delle informazioni sono rimasti praticamente invariati rispetto allo scorso anno. I tre principali sono imputabili ai limiti di budget (60%), alla mancanza di risorse qualificate (48%) e alla poca consapevolezza dei rischi di sicurezza da parte del top management (44%).
L’ultimo ma non meno importante tema affrontato dalla ricerca è il numero sempre più elevato di dispositivi che si aggiungono all’ecosistema digitale delle aziende. Non deve quindi stupire che il 74% delle organizzazioni intervistate tema per la scarsa consapevolezza degli utenti e per l’uso che gli stessi fanno di computer portatili, tablet e smartphone. Basti pensare che 4 rispondenti italiani su 5 ritengono la perdita di un simile device uno dei principali rischi per l’azienda, soprattutto per il rischio di furti di identità e dell’eventuale perdita di dati sensibili.