Lo studio RSA Cybersecurity Poverty Index rivela che le dimensioni non contano in materia di cybersicurezza, c’è una preoccupante carenza di maturità e un eccessivo affidamento sulla prevenzione. RSA, la Security Division di EMC, ha pubblicato la prima edizione del Cybersecurity Poverty Index, realizzato sulla base di interviste a oltre 400 professionisti di sicurezza di 61 Paesi, inclusa l’Italia. La ricerca ha permesso ai partecipanti di valutare autonomamente il grado di maturità dei programmi di cybersicurezza adoperando come metro di misura il NIST Cybersecurity Framework (CSF). Questo studio fornisce una preziosa panoramica mondiale sulla maturità e sulle misure di sicurezza all’interno di organizzazioni differenti per dimensioni, settori e aree geografiche. Se normalmente si pensa alle grandi aziende come a quelle dotate di risorse particolarmente adatte a implementare una cyberdifesa efficace, i risultati della ricerca indicano, invece, come le dimensioni non siano affatto un fattore determinante ai fini della maturità della cybersicurezza; inoltre, quasi il 75% di tutto il campione intervistato ammette livelli insufficienti di maturità in questo ambito.
La carenza di maturità complessiva non sorprende, dal momento che numerose aziende intervistate hanno registrato negli ultimi dodici mesi incidenti di sicurezza con conseguenti perdite o danni operativi. L’area più matura è quella riguardante la protezione. I risultati della ricerca evidenziano in termini quantitativi quanto le aziende siano mature in ambito prevenzione, nonostante la consapevolezza che le strategie e le soluzioni di prevenzione non siano, da sole, sufficienti a contrastare gli attacchi più avanzati e sofisticati. Inoltre, il punto più debole delle aziende intervistate risiede nella capacità di misurare, valutare e mitigare i rischi di cybersicurezza: il 45% del campione descrive infatti le proprie capacità in quest’ambito come “inesistenti”, e solo il 21% si reputa maturo. Tale carenza rende difficile, se non impossibile, prioritizzare le attività e gli investimenti in sicurezza, un elemento base per qualunque organizzazione che voglia migliorare le proprie capacità di difesa.
Contro le aspettative, la ricerca evidenzia che le dimensioni di un’organizzazione non corrispondono ad un’effettiva maturità, tanto che l’83% delle aziende intervistate – con oltre 10.000 dipendenti – valuta le proprie capacità “poco sviluppate” in termini di maturità complessiva. Questo risultato suggerisce che l’esperienza e la visibilità sulle minacce avanzate delle grandi organizzazioni implicano la necessità di una maggiore maturità rispetto alla loro situazione attuale. Queste aziende sono più consapevoli dell’esigenza di disporre di soluzioni e strategie più robuste e mature per individuare e rispondere agli attacchi.
Contro ogni previsione sono anche i risultati emersi dal segmento delle aziende operanti nel settore finanziario, un settore che viene frequentemente citato come il più avanzato in termini di maturità in ambito sicurezza. Nonostante i luoghi comuni, tuttavia, le società finanziarie intervistate non ritengono di costituire il settore più maturo: solo un terzo delle aziende giudica infatti di sentirsi preparato. Gli operatori di infrastrutture critiche, che rappresentano il target originale del CSF, dovranno compiere significativi passi avanti per migliorare il proprio grado attuale di maturità. Le società di telecomunicazioni hanno riportato il livello più alto, con il 50% che dichiara di aver sviluppato capacità significative, mentre la pubblica amministrazione si è classificata ultima nell’indagine con il solo 18% che ritiene di aver sviluppato competenze di rilievo.
Malgrado il CSF sia stato sviluppato negli Stati Uniti, il grado di maturità riportato dalle aziende che si trovato nelle Americhe è minore rispetto a quello delle regioni APJ ed EMEA. Nell’area APJ (Asia-Pacifico e Giappone) è stato raggiunto il grado di maturità più elevato, con il 39% degli intervistati che si ritiene “sviluppato” o “avvantaggiato” in termini di maturità complessiva; un dato che scende al 26% nell’area EMEA (Europe, Middle-East-Africa) e al 24% nell’area delle Americhe.
Amit Yoran, Presidente, RSA Questa ricerca dimostra come le aziende continuino a investire enormi quantità di denaro nell’ultima generazione di firewall, anti-virus e sistemi di protezione nella speranza di bloccare le minacce avanzate. Eppure nonostante questi investimenti, anche le aziende più grandi si sentono inadeguate a gestire i problemi di cybersicurezza. Siamo convinti che questa dicotomia sia il risultato del fallimento di modelli basati sulla prevenzione di fronte a un panorama di minacce sempre più critico. Dobbiamo dunque cambiare il modo in cui pensiamo alla sicurezza e iniziare a riconoscere il fatto che la prevenzione da sola rappresenta una strategia perdente e che un maggior grado di attenzione debba essere dedicato alle attività di monitoraggio e risposta.
Stephen T. Whitlock, Chief Strategist, Information Security, Boeing Boeing ha supportato il NIST Cybersecurity Framework contribuendovi fin dalla sua ideazione. Utilizziamo questo framework come base per valutare la sicurezza complessiva sia delle nostre organizzazioni interne sia nei rapporti con i clienti esterni. Il Framework promuove un approccio completo e adattabile basato sul rischio che risulta indipendente dalla tecnologia e dalle normative. Da quando abbiamo adottato il Framework, i risultati hanno avuto un impatto significativo nella identificazione delle problematiche e nella definizione della strategia di cybersicurezza.
