Le aziende svizzere sono più propense a pagare il riscatto

L'indagine attuale mostra che, rispetto all'anno precedente, un numero maggiore di aziende svizzere pagherebbe un riscatto agli hacker in caso di incidente di sicurezza piuttosto che investire di più nella sicurezza delle informazioni, ritenendo tale approccio più conveniente: L'anno scorso, 23% dei decision maker intervistati hanno dichiarato che preferirebbero soddisfare le richieste degli aggressori in caso di attacco ransomware; quest'anno, la cifra sale a 40%. Questo dato è correlato all'affermazione secondo cui 44% delle aziende svizzere preferirebbero pagare un riscatto piuttosto che una sanzione per non aver rispettato le leggi e le politiche vigenti. "Questo risultato è più che spaventoso, soprattutto alla luce della minaccia degli attacchi ransomware, che non accenna a diminuire", spiega Kai Grunwitz di NTT Security. "Se le aziende si aspettano vantaggi in termini di costi dal pagamento del riscatto, ai nostri occhi questo è più che ingannevole. E il brusco risveglio arriverà prima o poi per molti".

Consapevoli del pericolo imminente

Eppure le aziende sono ben consapevoli della minaccia incombente: secondo i decision maker intervistati, il cloud (24%), BYOD (20%), ransomware (18%) e IoT (12%) rappresentano una potenziale minaccia nei prossimi 12 mesi. Tuttavia, quasi due terzi temono che il gap di sicurezza sia all'interno dell'azienda: Le minacce interne dannose, come il furto di dati (30%), le violazioni della sicurezza accidentali o per negligenza (28%), ma anche lo shadow IT (16%) e il phishing (36%) sono classificate dagli intervistati come potenziali rischi per la sicurezza.

Non sorprende che solo 42% delle aziende dispongano già di un piano di risposta agli incidenti; secondo lo studio, 38% sono in procinto di attuarlo e altre 10% stanno pianificando di implementare misure corrispondenti nel prossimo futuro (cfr. Figura 1). "Negli ultimi anni, non è cambiato molto nelle aziende per quanto riguarda il piano di risposta agli incidenti, nonostante i numerosi incidenti di sicurezza di cui si è venuti a conoscenza e il potenziale di danno sempre più elevato. Sebbene sia possibile reagire in modo appropriato e rapido agli incidenti di sicurezza informatica solo con processi dedicati e piani di emergenza, nemmeno la metà delle aziende intervistate dispone di un piano di risposta agli incidenti", riassume Grunwitz. "Anche l'elevato numero di implementazioni in corso e di progetti in fase di pianificazione fa riflettere se analizzato da vicino: gli studi condotti in passato chiariscono che spesso si tratta solo di progetti orientati alla conformità e che rimangono pure dichiarazioni di intenti che non portano a un miglioramento significativo della prontezza di risposta agli incidenti delle aziende nell'anno successivo - solo pochi di questi progetti di risposta agli incidenti vengono implementati con successo. La collaborazione con un partner esperto nella risposta agli incidenti è quindi altamente raccomandata".

Solo la metà ha linee guida per la sicurezza

Le cose non vanno meglio per quanto riguarda le politiche di sicurezza. Solo circa la metà delle aziende (48%) ha introdotto politiche di sicurezza complete. Tuttavia, il 21% non ha informato attivamente i propri dipendenti sulle linee guida. "È essenziale fornire ai dipendenti una formazione adeguata sulle minacce e su come affrontarle in modo corretto, soprattutto perché gli attacchi di social engineering sono sempre più diffusi. Ogni dipendente diventa rapidamente una falla nella sicurezza se non ha un'ottima consapevolezza della sicurezza. I corsi di sensibilizzazione specifici per l'azienda possono sensibilizzarli al problema e dare loro fiducia nell'affrontare gli incidenti corrispondenti", sottolinea Grunwitz.

Lo scambio all'interno dell'azienda sul tema della sicurezza deve aumentare significativamente in generale: Solo 66% dei decision maker intervistati ha dichiarato di essere aggiornato su attacchi, potenziali attacchi e conformità nella propria azienda. Questo dato è correlato all'affermazione che la sicurezza è un punto regolare delle riunioni del consiglio di amministrazione solo in 68% delle società. Inoltre, il fatto che 46% siano già stati colpiti da un incidente di sicurezza, ma che 42% degli intervistati prevedano di non trovarsi mai in questa situazione, sottolinea la necessità di una maggiore consapevolezza della minaccia. Infine, le aziende intervistate sono ben consapevoli dei gravi effetti negativi di un incidente di sicurezza con furto di dati: sono stati citati la perdita di fiducia dei clienti (42%), i danni alla reputazione (38%) e le perdite finanziarie (36%).

*L'annuale "Rapporto rischio/valore" è compilato dalla società di ricerche di mercato Jigsaw Research per conto di NTT Security. A questo scopo, 2.256 dirigenti di tutto il mondo - quest'anno - danno le loro valutazioni su temi legati all'IT e alla sicurezza informatica.