Aziende e sicurezza informatica, come misurare il rischio

Obiettivo quello di costruire una resilienza informatica sicura.

Data Loss sicurezza infrastrutture critiche CISO minacce informatiche sicurezza informatica

Per definire uno standard globale per misurare il rischio di sicurezza informatica per le aziende, SecurityScorecard propone di applicare i rating di sicurezza. Secondo uno studio della società, 48% delle organizzazioni produttive critiche si sono classificate “C”, “D” ” o “F” sulla piattaforma di classificazione della sicurezza sviluppata da questa stessa società . Pubblicato durante il meeting annuale del World Economic Forum (WEF), Addressing the Trust Deficit In Critical Infrastructure ha analizzato lo stato attuale della resilienza informatica nei settori delle infrastrutture critiche come energia, chimica, sanità e altri. Le organizzazioni con un rating di sicurezza “A” hanno 7,7 volte meno probabilità di subire una violazione rispetto a quelle con un rating “F”.

Un barometro affidabile

Aleksandr Yampolskiy, cofondatore e CEO di SecurityScorecard
I rating di sicurezza sono un barometro affidabile della resilienza informatica. Infatti è giunto il momento che si renda obbligatoria la misurazione del rischio informatico. Gli attacchi informatici negli ultimi 10 anni sono diventati  sempre più numerosi, più complessi. Inoltre hanno sempre più preso di mira le infrastrutture critiche, minando così la fiducia del pubblico nella resilienza informatica della nostra economia globale.

Aziende e sicurezza informatica

Gli incidenti informatici che colpiscono le infrastrutture critiche, un tempo relativamente rari, sono diventati molto più frequenti negli ultimi anni. Questo perché gli stati-nazione e i loro delegati intensificano il perseguimento di obiettivi geopolitici. I dati FBI hanno mostrato che 14 dei 16 settori considerati infrastrutture critiche dal governo degli Stati Uniti avevano subito almeno un attacco ransomware già nel 2021. SecurityScorecard ha valutato questi settori per misurare il loro attuale stato di resilienza informatica. Dall’analisi di tutte le organizzazioni appartenenti a tale categoria nell’elenco Forbes Global 2000 è emerso che il settore manifatturiero è altamente vulnerabile.

Sicurezza aziendale protezione dati deloittesicurezza informatica

I 10 fattori da prendere in considerazione

SecurityScorecard considera 10 fattori quando sviluppa la valutazione della sicurezza di un’organizzazione. Le sue classificazioni offrono classificazioni A-F di facile lettura su, come detto, dieci fattori di rischio:

  • sicurezza della rete,
  • integrità DNS,
  • cadenza delle patch,
  • punteggio subito,
  • sicurezza degli endpoint,
  • reputazione IP,
  • sicurezza delle applicazioni web,
  • chat degli hacker,
  • credenziali trafugate
  • ingegneria sociale.

Ciascun fattore ha un peso numerico, che riflette la gravità o il rischio con cui il fattore contribuisce alla condizione generale di sicurezza informatica di un’organizzazione.

Può convenire anche economicamente

Aleksandr Yampolskiy, cofondatore e CEO di SecurityScorecard
Investire in più tecnologie sembra oneroso per gli operatori di infrastrutture critiche con risorse limitate. La realtà è che la tecnologia di valutazione della sicurezza informatica è estremamente conveniente. Soprattutto se si considera che il costo catastrofico di una violazione è in media di 9,44 milioni di dollari per le organizzazioni statunitensi.

Costruire una resilienza efficace

Sfruttando le valutazioni di sicurezza, queste organizzazioni hanno un modo semplice per costruire resilienza. Inoltre prendere decisioni più informate per rafforzare le loro difese informatiche. Misurando con sicurezza il rischio e quantificando l’affidabilità dei loro partner, appaltatori, fornitori di terze e quarte parti e catene di fornitura.

Aziende e sicurezza informatica, come misurare il rischio

Ancora, rileva sempre la ricerca, il 78% di 240 tra i maggiori istituti finanziari dell’Unione Europea ha subito una violazione dei dati da parte di terzi nell’ultimo anno. Sulla scia di attacchi come MOVEit e SolarWinds, le normative sulla sicurezza informatica evidenziano la necessità di approcci completi per gestire il rischio dei fornitori e garantire la conformità. Solo il 3% dei fornitori di terze parti analizzati è stato violato, fatto che mette  in luce il drammatico impatto di un singolo attacco alla supply chain nel panorama delle minacce. Gli attacchi alla catena di fornitura attirano i criminali informatici. Perché quando un software ampiamente utilizzato viene compromesso, gli aggressori ottengono l’accesso potenzialmente a tutte le organizzazioni che utilizzano quel software.