Cybersecurity: a che punto siamo?

Il 2016 è stato un annus horribilis per la sicurezza aziendale, gravi violazioni nella sicurezza informatica hanno spesso riempito le pagine di tutti giornali. Una cifra su tutte: stando al Dipartimento di giustizia americano, gli attacchi ransomware sono quadruplicati a 4.000 al giorno dal 2015 al 2016. Ma le aziende come percepiscono questi attacchi? Si sentono abbastanza protette e tutelate? Sono equipaggiate e pronte alla difesa? Fotografa lo stato dell’arte la 19.ma edizione del Global Information Security Survey 2016-17 di Ernest&Young.

Cosa emerge? Le aziende intervistate sono più fiduciose di prevedere e resistere ad attacchi informatici evoluti. Ma è il nemico a farsi sempre più sofisticato: non più individui solitari ma vere e proprie organizzazioni criminali che fanno proseliti anche nelle università ricercando le menti più brillanti da pagare profumatamente.

Gli investimenti fatti in cybersecurity e le strategie adottate per resistere agli attacchi non sono tuttavia ancora sufficienti secondo gli oltre 1,735 responsabili di sicurezza informatica o dirigenti IT intervistati nella survey: solo il 50% dichiara di essere pronto a rilevare un attacco, l’86% afferma che la propria funzione di Cybersecurity non soddisfa pienamente le esigenze di sicurezza e il 42% di non disporre di una strategia condivisa a livello aziendale. Oltre la metà degli intervistati (57%) ha subito un attacco alla sicurezza e il 48% individua in strumenti obsoleti per il controllo e architetture di protezione non all’altezza le principali cause di vulnerabilità (+ 34% rispetto al 2015).

Ma qual è il danno economico provocato da questi attacchi? Il costo medio annuo per azienda viaggia intorno ai $ 9.5 milioni secondo il Ponemon Institute, uno dei maggiori centri di ricerca americani sul tema di privacy e sicurezza dei dati. Queste cifre non sembrano spaventare le aziende se si pensa che il 62% dichiara di non avere intenzione di aumentare la propria spesa in cybersecurity.  Perdite finanziarie a parte, sottolinea EY’s, quello che spesso si sottovaluta è il danno di reputazione che ne deriva.

E in Italia? I dati non sono molto rassicuranti a partire dal 69% che dichiara di aver subito un attacco (percentuale molto più alta rispetto al dato globale). Il 97% dei manager intervistati non ha nel suo organico una funzione di Cybersecurity in linea con le necessità di sicurezza, il 65% non dispone di un programma di Intelligence e quasi la metà non possiede strumenti adeguati per identificare le proprie falle.

L’aumento dei rischi delle azioni di dipendenti negligenti o inconsapevoli (74% ) e l’accesso non autorizzato ai dati (32%) sono tra le principali preoccupazioni dei manager italiani. Budget limitati, assenza di personale qualificato competente e scarsa consapevolezza del top management sono gli ostacoli principali alla crescita di figure aziendali dedicate.

“Prevenire, difendere e reagire”: queste le tre azioni che suggerisce la ricerca per rendere le aziende capaci di far fronte alla più grande sfida degli ultimi tempi: proteggere i dati e le informazioni di valore.

Per questo in 255 sviluppiamo “penetration test” nei nostri software per fornire garanzie di sicurezza elevate e certificate ai nostri clienti.