Nessuna realtà è completamente al riparo da un attacco cyber con conseguenze catastrofiche: ma chi guida l’azienda ne è cosciente?
E quanto è preparato a rispondere ad una eventuale crisi di questo tipo?
Il Management Program di The Innovation Group, giunge quest’anno alla sua terza edizione.
È stata rivolta, tra dicembre 2017 e gennaio 2018, alla Community del programma, composta da professionisti che si occupano di Cybersecurity, quali CIO/Responsabili ICT, Security Manager, Chief Security Officer e Chief Information Security Officer, Risk, Audit e Compliance Manager, oltre che Professionals e Consulenti della Sicurezza. Hanno risposto alla survey Cyber Risk Management 2018 nel complesso 88 aziende, con una prevalenza di aziende medio grandi (il 60% ha oltre 500 addetti), dei diversi settori verticali. Rispetto alle survey effettuate in precedenza (relative alle scelte per la Cybersecurity nei 2 anni precedenti, 2015 e 2016), l’indagine propone quest’anno 2 nuovi ambiti di approfondimento, sul tema del Secure Supply Chain management e della Cyber Insurance.
Di seguito
riportiamo i principali risultati.
Quali sono i trend che preoccupano maggiormente i responsabili della sicurezza?
Guardando alla situazione attuale, con riferimento agli attacchi cyber in corso, abbiamo quasi un 90% di organizzazioni che registrano di essere state oggetto di numerose minacce. Tra le forme di attacco osservate più di frequente, il Phishing / social engineering, che colpisce oramai oltre la metà delle aziende del campione, seguito da malware e ransomware.
Gli attacchi sfruttano diversi vettori per colpire l’azienda – sia vulnerabilità nei suoi sistemi e applicativi, sia comportamenti errati o mancati aggiornamenti/configurazioni – ma di fatto trovano soprattutto nelle mail il veicolo principale per aprirsi un varco verso i sistemi informativi interni.
Secondo i rispondenti infatti, nel 93% dei casi gli incidenti sono stati causati originariamente
da una mail contenente un allegato o un link malevolo: è una percentuale molto alta, da collegare a più tipologie di attacco (dal phishing, al malware generico, al ransomware, agli stessi APT) e conferma la preoccupazione sullo sfruttamento della “debolezza delle persone” come primo veicolo per condurre un attacco che avrà successo. In percentuali minori ma comunque importanti appaiono le vulnerabilità che hanno permesso l’ingresso degli attaccanti (lato web server al primo posto, ma anche applicative su device endpoint, lato server o su altri device). Ulteriori debolezze sfruttate dagli attaccanti sono gli errori di configurazione e il mancato controllo sulla sicurezza delle chiavette USB, oltre alla possibilità che l’attacco sia favorito da una terza parte o un contractor (13% delle risposte).
Un altro tema preoccupante è la crescita degli attacchi mirati alla singola azienda, ossia, ingegnerizzati in modo specifico per ottenere informazioni o causare disturbi alla singola realtà.
Un 46% dei rispondenti afferma di essere a conoscenza di almeno un attacco che è stato sferrato in modo mirato alla propria organizzazione.
Come stanno evolvendo gli approcci delle aziende in tema di Cyber Risk Management?L’approccio alla gestione di questo rischio deve quindi evolvere per essere più efficace. Fino ad oggi l’area della cybersecurity è stata troppo orientata a strutturarsi “a silos”, in modo separato dal resto dell’organizzazione.
Servirebbe invece un approccio più coordinato con il resto dell’organizzazione e orientato a comunicare meglio le problematiche della cybersecurity al top management/al board. Le
stesse attività di misurazione e reporting sono oggi poco strutturate, qualitative invece che quantitative, in molti casi inesistenti.
Come emerge dall’indagine, il primo problema di un CISO è rendere partecipe e ingaggiare il top management/il Board dell’azienda comunicandogli nel modo più efficace possibile le criticità della cybersecurity - che lui vede, ma che il resto del business non conosce.
Il secondo problema, indicato dal 52% dei rispondenti, è invece allineare meglio gli obiettivi della cybersecurity a quelli del business.
Al terzo posto la necessità di far fronte ad una complessità crescente di gestione della cybersecurity: è un problema per oltre la metà dei rispondenti, ed è evidente che non farà altro che peggiorare in futuro, via via che le aziende si esporranno in nuovi ambiti dell’innovazione digitale. È un tema legato alla mancanza di competenze e risorse nell’ambito della security, che può essere affrontato soltanto se si lavora in un’ottica di PROGRESSIVA AUTOMAZIONE di un numero sempre maggiore di task
