Ad aprile, durante la Qualys Security Conference (QSC) Emea, Qualys ha illustrato diversi trend e novità di visione e di approccio al mercato della sicurezza aziendale. Gestire il rischio informatico alla velocità del business, colmando le lacune ancora esistenti allo scopo di eliminare il rischio aziendale è stato il tema al centro dell’intervento del Ceo Sumedh Thakar. Di fronte a oltre 600 partecipanti, tra manager C-level e clienti da tutto il mondo, ha approfondito la questione del divide che ancora oggi vede da un lato la security aziendale e dall’altro le esigenze e i tempi del business.
Novità e trend nella sicurezza aziendale secondo Qualys
Con un numero sempre più elevato di strumenti diversi usati per misurare e gestire il rischio, molte grandi organizzazioni operano con soluzioni spesso disgiunte. Il tutto con grande difficoltà nel quantificare l’impatto del rischio informatico sulle aziende. Ai leader della sicurezza di ogni origine geografica serve andare oltre l’enumerazione delle criticità riscontrate per giungere a una quantificazione reale dell’impatto che il rischio informatico ha sulle aziende. Così da potersi concentrare solo sull’identificazione e la misurazione delle vulnerabilità più rilevanti ed accorciare i tempi di intervento nell’eliminazione totale del rischio informatico. Il tutto a vantaggio di migliori risultati di business.
Identificare, misurare, comunicare e rimediare
La varietà delle forme di rischio che minano oggi la sicurezza delle organizzazioni di ogni dimensione è enorme: dal rischio di perdita di dati a quello di non conformità fino ai danni reputazionali e di disponibilità e continuità di servizio. Ognuna di queste forme comporta implicazioni che possono minare l’assetto economico-finanziario, manageriale e operativo delle organizzazioni. In questo scenario è fondamentale riuscire a identificare, misurare, comunicare e rimediare solo ciò che è realmente rilevante. Come afferma il Ceo Sumedh Thakar “Se tutto è critico, nulla lo è”.
Necessario garantire più visibilità
Un cambio di direzione nell’approcciare la cybersecurity aziendale deve dunque iniziare con il rilevamento e la prioritizzazione. È fondamentale garantire una completa visibilità, ma siamo ancora lontani da questo traguardo. Basti pensare che il 45% delle risorse non è classificato correttamente in base alla criticità aziendale per mancanza di visibilità sugli asset esterni e interni. Con oltre il 30% di questi a non risultare del tutto visibile e/o catalogato.
Novità e trend nella sicurezza
La maggior parte dei programmi di sicurezza manca poi del contesto delle informazioni sulle minacce utile a identificarle correttamente. Su 2,6 miliardi di rilevazioni di vulnerabilità analizzate, 2,1 (81%) sono state considerate “ad alto rischio” o “critiche” secondo CVSS. Con la piattaforma Qualys TruRisk, solo 603 milioni sono risultate “ad alto rischio” o “critiche”. 87 milioni sono poi le vulnerabilità ad alto rischio che sono state trovate da Qualys e che CVSS non aveva invece rilevato. Le statistiche di risposta informatica, inoltre, di frequente non si traducono in una quantificazione del rischio informatico.
La cybersicurezza al centro nelle dinamiche aziendali
Il Ceo Sumedh Thakar ha illustrato varie criticità che le organizzazioni si trovano ad affrontare oggi. Sempre più marcata è la tendenza che vede i Ciso chiamati a riportare direttamente al Ceo (il 47% in US) e a dover riferire al Board ed ai diversi stakeholder aziendali. Una conferma che la cybersicurezza è sentita in misura crescente come un punto nevralgico in seno alle dinamiche di business. Anche in Italia questa tendenza sta iniziando a manifestarsi con crescente frequenza, come sottolineato a Londra da Emilio Turani, Managing Director Italia eSud Est Europa.
La situazione in Italia
La cybersecurity sta diventando un elemento abilitante nei processi di business. E la necessità di ottenere una predicibilità del budget aziendale nel medio e lungo periodo è una tendenza sempre più rivelante. Il Ciso si confronta in modo sempre più strategico con i vari stakeholder aziendali e una gestione che è basata su una reale gestione del rischio coadiuva l’interoperabilità con le terze parti. Semplificandone così la gestione e riducendo il costo di possesso e di amministrazione. In Italia si nota una crescente richiesta in questa direzione che interessa l’ecosistema e tutti i segmenti di mercato. In particolare in contesti dove bisogna necessariamente razionalizzare le risorse per poterle poi includere nei processi di business aziendali.