Business Digitali
La proliferazione di linee guida sulla cybersecurity e l’aumento della spesa globale nel settore non sono state sufficienti a impedire che le agenzie governative e le grandi aziende cadessero vittime di intrusioni informatiche.
Il numero di dispositivi IoT (Internet of Things), l’uso crescente di applicazioni SaaS nonchè la complessità e dimensione dei codici delle loro componenti software (e firmware) sono fattori che hanno reso impossibile garantire che tutto sia correttamente aggiornato.
Le misure di sicurezza informatica che vediamo oggi, come i maturity assessment, le certificazioni di compliance, i vulnerability assessment (anche in termini di vulnerability aging report) e le statistiche sul tempo medio di rilevamento di una violazione, sono preziose ma non più sufficienti, e vanno completate con nuove soluzioni.
In primo luogo, dobbiamo avere il coraggio di dare più visibilità ai livelli di rischio intrinseco delle organizzazioni. C’è inoltre bisogno di maggiore trasparenza, accuratezza e precisione per quanto riguarda i risultati ottenuti contro minacce probabili, che deve coinvolgere in modo coerente tutta la superficie di attacco dell’azienda. Infine, dobbiamo essere in grado di quantificare meglio gli impatti finanziari di minacce meno probabili ma dalle conseguenze economiche rilevanti.
Nonostante la pubblicazione di linee guida sulla cybersecurity e l’aumento della spesa globale per la cybersecurity (le organizzazioni di tutto il mondo hanno speso circa 150 miliardi di dollari nel 2021 per la sicurezza informatica, con una crescita del 12,4% annuo), le notizie di agenzie governative e grandi aziende vittime di intrusioni informatiche si susseguono.
Ciò è dovuto per diverse ragioni.
Per gestire il rischio informatico in questo contesto, dobbiamo cambiare radicalmente il modo in cui misuriamo le prestazioni e i livelli di protezione. Le misure che sono maggiormente utilizzate oggi includono requisiti come i maturity assessments (utilizzando una scala per definire livelli progressivi di maturità delle cababilities in uso per gestire il rischio informatico), i vulnerability assessment (anche in termini di vulnerability aging reports che misurano la presenza di vulnerabilità critiche tra gli asset IT e il tempo trascorso senza che siano state risolte) e le statistiche sul tempo medio di rilevamento di un breach. Queste misure sono preziose e necessarie, ma oggi giorni non sono più sufficienti e devono essere integrate con nuovi approcci di sicurezza.
Per concludere, proviamo a riportare i punti chiave da tenere a mente, a fronte del nuovo scenario di rischio cyber che si sta prospettando:
Se dovessimo quindi riassumere tutto in una frase: le aziende non devono solo conoscere il loro rischio cyber, ma devono “mettersi a nudo”, dichiarando all’esterno quali sono le proprie vulnerabilità e i propri KPI legati alle perfomance di difesa. In sostanza come hanno reagito di fronte a certi scenari e quali sono stati gli effetti.
Un grande sforzo di trasparenza, che aumenta la consapevolezza del rischio dentro e fuori l’azienda, per aumentare di conseguenza la fiducia e la reputazione riposta -in termini di sicurezza- da parte di tutti gli stakeholders.
Articoli correlati