Tre quarti sono esposti a maggiori rischi informatici
Un nuovo studio di RSA mostra che le strategie di sicurezza della maggior parte delle organizzazioni rimangono frammentarie. Quasi la metà delle aziende non è in grado di valutare, catalogare o ridurre i rischi informatici, o è in grado di farlo solo caso per caso.
Circa tre quarti dei programmi di sicurezza informatica di aziende e autorità pubbliche presentano ancora lacune critiche. Questo è il risultato dell'ultimo "Cybersecurity Poverty Index Report", pubblicato dall'associazione Cybersecurity. RSA pubblicato di recente. Secondo il rapporto della filiale di EMC, a mancare è soprattutto la capacità di reagire rapidamente agli incidenti di sicurezza: Circa la metà delle organizzazioni intervistate ha descritto la propria "risposta agli incidenti" come "ad hoc" o addirittura "inesistente", compresi molti operatori di infrastrutture critiche.
Altri risultati chiave del rapporto: Le organizzazioni IT che investono specificamente in tecnologie per rilevare e limitare gli attacchi spesso ottengono una maggiore protezione rispetto ad altre che spendono la maggior parte dei loro soldi in tecnologie di prevenzione (come i firewall). E: molte aziende investono maggiormente nella sicurezza informatica solo dopo essere state vittime di un attacco dannoso per l'azienda. Tuttavia, molti non riescono a migliorare i propri programmi di protezione perché non capiscono esattamente come i rischi informatici influiscano sulla loro attività.
Solo 7% con un'ottima protezione
Il rapporto mostra una chiara correlazione tra la capacità di notare gli attacchi e il livello di maturità della sicurezza informatica: le aziende che registrano frequentemente irregolarità o attacchi al proprio ambiente informatico hanno il 65-%iger di avere strategie e tecnologie di sicurezza informatica avanzate o addirittura molto avanzate.
Ma come mostra anche il rapporto, il numero di queste aziende rimane basso, anche se sembra in crescita: la quota di ambienti IT molto ben protetti sul campione totale è stata di 7,4% (edizione dell'anno precedente del rapporto: 4,9%). Al contrario, il numero di intervistati che ritiene che la propria attività sia influenzata dai rischi informatici rimane elevato: circa 75% dei partecipanti all'indagine hanno fornito una valutazione corrispondente.
Spesso manca la capacità di stabilire le priorità
Questo potrebbe essere legato al fatto che molte aziende hanno difficoltà ad avviare misure di sicurezza proattive: 45% degli intervistati hanno dichiarato che le loro organizzazioni non sono in grado di catalogare, valutare o ridurre i rischi informatici o lo fanno solo caso per caso; solo 24% dei partecipanti all'indagine hanno valutato le corrispondenti capacità del loro sistema informatico come avanzate.
Soprattutto, l'impossibilità di specificare con esattezza i valori di tolleranza e le soglie per determinati rischi rende difficile per i responsabili stabilire le priorità degli investimenti o delle contromisure - eppure questo è uno dei prerequisiti più importanti per la sicurezza informatica in azienda.
La regione EMEA è leader nella sicurezza
Come l'edizione dello scorso anno, il rapporto mostra che le difficoltà descritte riguardano anche e soprattutto gli operatori delle infrastrutture critiche. Le autorità e le altre imprese pubbliche, così come i fornitori di energia, hanno ottenuto il punteggio peggiore nel confronto dei livelli di maturità della sicurezza informatica: Solo il 18% delle aziende di questo gruppo valuta i propri programmi di sicurezza come avanzati o molto avanzati.
Le aziende del settore finanziario non sembrano molto più attrezzate: sebbene siano spesso descritte come leader nella sicurezza informatica, solo 26% dei fornitori di servizi finanziari intervistati hanno raggiunto uno dei primi due livelli di maturità su cinque, un calo significativo rispetto alla cifra dell'anno precedente di 33%. In confronto, tra le aziende del settore aerospaziale e della difesa intervistate, 39% hanno ancora programmi di sicurezza avanzati o molto avanzati.
I Paesi della regione EMEA (Europa, Medio Oriente e Africa) guidano il confronto regionale del rapporto; qui, 29% delle aziende e delle autorità raggiungono un livello di maturità della sicurezza informatica avanzato o molto avanzato. Al secondo posto ci sono i Paesi della regione Asia-Pacifico, compreso il Giappone, con 26%, mentre la regione delle Americhe è in testa con 23%. Mentre la regione EMEA è migliorata di tre punti percentuali e di un posto rispetto all'anno precedente, la regione APJ ha perso 13 punti ed è quindi scesa al secondo posto. Testo: RSA
Informazioni sullo studio: Per il Cybersecurity Poverty Index Report è stato chiesto ai professionisti dell'IT e della sicurezza di 878 aziende, 24 settori e 81 Paesi di valutare la maturità della sicurezza IT della loro organizzazione. L'autovalutazione è stata condotta in base alle capacità di base di "Identificare", "Proteggere", "Rilevare", "Rispondere" e "Recuperare", come stabilito dal "NIST Cybersecurity Framework" (CSF). I partecipanti hanno valutato la maturità di ciascuna capacità della loro organizzazione utilizzando una scala a cinque punti (1 = "capacità non presente", 5 = "capacità a un livello molto avanzato").