Cosa fanno di diverso le aziende resilienti?
Solo il 36% delle aziende di infrastrutture critiche delle cinque maggiori economie mondiali ha raggiunto un livello elevato di resilienza informatica. Cosa distingue queste aziende? E cosa si può imparare da loro?
La resilienza informatica è la capacità di mantenere la produttività e raggiungere gli obiettivi aziendali nonostante un attacco informatico riuscito. Considerato il crescente panorama delle minacce, questo aspetto è essenziale. Dopo tutto, il rischio di un attacco informatico non può mai essere completamente eliminato. Si tratta piuttosto di ridurre al minimo la probabilità di un incidente, adottando al contempo misure per rimanere operativi in caso di emergenza. Soprattutto per le aziende che operano nel settore delle infrastrutture critiche, è essenziale raggiungere un elevato livello di resilienza. A che punto sono le organizzazioni CRITIS nel loro percorso verso la resilienza sostenibile e cosa fanno di diverso le aziende resilienti rispetto a quelle che sono ancora all'inizio? Lo ha stabilito la società di ricerche di mercato Frost&Sullivan per conto di Reti Greenbone.
I quattro criteri principali per misurare la resilienza
La resilienza informatica è un concetto completo che va oltre la sicurezza informatica. L'approccio è quello di stabilire la sicurezza già all'interno dei processi aziendali, invece di costruire un muro protettivo intorno ad essi solo in un secondo momento. Per misurare la resilienza, quattro criteri principali giocano un ruolo decisivo:
- Gli attacchi informatici possono essere gestiti adeguatamente all'interno dell'azienda?
- In che misura è possibile mitigare l'impatto di attacchi informatici potenzialmente gravi?
- Sono state stabilite le migliori pratiche e una cultura aziendale sensibilizzata in materia di resilienza informatica?
- Quali competenze sono particolarmente importanti per riprendersi rapidamente dopo un incidente informatico?
Sono state utilizzate domande dettagliate per determinare il posizionamento dei partecipanti allo studio nelle quattro aree per i prossimi dodici mesi e quali sono le loro priorità per far fronte agli attacchi informatici. Solo il 36% delle aziende CRITIS intervistate ritiene di aver già raggiunto un livello elevato di resilienza informatica. Gli Stati Uniti sono già più avanti. Il 50% delle aziende americane intervistate rientra tra le organizzazioni altamente resilienti, ma solo il 36% di quelle europee e il 22% di quelle giapponesi.
Sei caratteristiche che contraddistinguono le aziende resilienti
Cosa fa il 36% delle aziende resilienti meglio delle altre? Le seguenti sei caratteristiche sono emerse come particolarmente importanti in base alle capacità, alle best practice e alla cultura aziendale.
1) Le aziende resilienti sono in grado di identificare i processi aziendali critici, gli asset associati e le loro vulnerabilità.
Ciò richiede un'analisi dettagliata dei processi aziendali critici e la conoscenza di quali asset digitali sono indispensabili per mantenere tali processi. Il passo successivo consiste nell'identificare le vulnerabilità e nell'adottare misure appropriate per mitigarle o eliminarle. A tal fine, una soluzione di gestione delle vulnerabilità svolge un ruolo cruciale. La capacità di gestire le vulnerabilità è ciò che più chiaramente distingue le aziende altamente resilienti da quelle meno resilienti.
2) Le aziende resilienti riescono a minimizzare i danni dopo un incidente informatico. Le strozzature nelle consegne, l'insoddisfazione dei clienti, i danni alle apparecchiature o i ritardi nella produzione e nell'assistenza possono essere risolti tempestivamente.
Ciò si ottiene grazie alla capacità di reagire rapidamente agli attacchi informatici, chiudere le vulnerabilità e contenere la minaccia. Per farlo, hanno bisogno di un'architettura di sicurezza informatica allineata ai processi aziendali. Inoltre, le aziende resilienti possono agire in modo agile e hanno definito processi e responsabilità di sicurezza chiari.
3) Stabilendo tempestivamente le migliori pratiche, le aziende resilienti sono in grado di reagire in una fase iniziale.
Per raggiungere questo obiettivo, hanno creato una consapevolezza dei processi e degli asset aziendali critici all'interno del management e della forza lavoro e hanno ancorato la resilienza informatica nella cultura aziendale. Nel 95% delle aziende altamente resilienti, il proprietario di un asset digitale è anche responsabile della sua protezione. L'esperienza accumulata e l'approccio consolidato aiutano a mobilitare rapidamente tutti i livelli dell'organizzazione per colmare le lacune e riparare rapidamente i danni degli attacchi.
4) Le aziende resilienti hanno maggiori probabilità di richiedere il supporto di fornitori terzi o sono disposte a farlo.
Si avvalgono dell'esperienza di fornitori di servizi specializzati non solo per gestire le tecnologie di sicurezza, ma anche per ottenere consigli. I consulenti aiutano, ad esempio, a sviluppare una strategia di sicurezza per l'azienda, a selezionare la tecnologia adatta, a implementare servizi di sicurezza gestiti o a determinare il ROI con le metriche di sicurezza.
5) Le aziende resilienti considerano particolarmente importante la capacità di rispondere agli incidenti informatici e di mitigare l'impatto sui processi aziendali critici.
Secondo loro, questo le mette nella posizione migliore per riprendersi rapidamente dopo un attacco informatico. Le aziende europee hanno priorità diverse da quelle americane. Per loro la capacità di eliminare le vulnerabilità è la cosa più importante. Negli Stati Uniti, invece, le aziende si concentrano maggiormente sui processi aziendali critici. La capacità di prevenire gli incidenti informatici gioca solo un ruolo minore per tutti gli intervistati. C'è quindi una crescente consapevolezza che gli attacchi informatici e il loro impatto sono inevitabili.
6) Le aziende resilienti si preparano agli attacchi informatici attraverso simulazioni.
Nelle sessioni di formazione simulano vari scenari "what-if" e coinvolgono anche i proprietari degli asset al di fuori del reparto IT. Inoltre, applicano le stesse regole di sicurezza informatica a tutti gli asset digitali. In questo modo è più facile rispettarle in modo coerente.
La chiave per una maggiore resilienza informatica
Secondo Greenbone Networks, i risultati dello studio hanno dimostrato che la resilienza informatica non è una questione di budget IT e richiede molto di più di un'adeguata tecnologia di sicurezza. La chiave è identificare i processi aziendali critici e gli asset digitali e metterli al centro di tutte le misure. Le best practice devono essere allineate ai processi aziendali e diffuse in tutte le divisioni aziendali. Per raggiungere questo obiettivo, è importante creare una consapevolezza dei processi e degli asset critici e dei rischi associati tra il management e i dipendenti. Se si raggiunge questo obiettivo, le aziende possono aumentare in modo significativo la loro resilienza informatica.
Fonte: Reti Greenbone
Sono state intervistate 370 aziende negli Stati Uniti, in Giappone, Germania, Francia e Regno Unito. Esse appartengono ai sei settori CRITIS: energia, finanza, sanità, telecomunicazioni, trasporti e acqua.
È possibile richiedere il rapporto completo dello studio al seguente link: https://www.greenbone.net/businessrisk/