Cybercrime, tutele insufficienti Mancano budget e formazione

Pagine a cura di Gabriele Ventura

Aziende sotto attacco informatico per colpa dei dipendenti negligenti o inconsapevoli. È questa, infatti, la principale causa della vulnerabilità delle organizzazioni in tema di sicurezza informatica. Sì, perché se da un lato cresce il rischio di cyber attacchi per le imprese, con notevoli ripercussioni sulla produttività e sull’immagine dell’azienda, dall’altro la formazione dei dipendenti, in materia di sicurezza delle informazioni, è ancora scarsa. Inoltre, quasi nessuna impresa ha un piano strategico in materia di cybersecurity, e la maggior parte non è in grado né di anticipare possibili minacce dall’esterno, né di gestire un attacco informatico con una strategia ad hoc. È quanto emerge, tra l’altro, dalla ventesima edizione della EY Global information security survey (Giss), «Cybersecurity regained: preparing to face cyber attacks», indagine basata sulle interviste a circa 1.200 manager delle più grandi aziende al mondo, che fotografa le preoccupazioni più urgenti in tema di cybersecurity e come vengono affrontate a livello globale. Il 65% delle organizzazioni coinvolte nella ricerca ritiene di essere più a rischio di attacchi informatici rispetto a un anno fa. Per questo, circa il 90% dei manager afferma di aver bisogno del 50% di budget in più per affrontare le crescenti minacce informatiche. Ma vediamo nel dettaglio i risultati dell’indagine, a partire dal panorama italiano.

Cybersecurity in Italia. In Italia, dal punto di vista della prevenzione degli attacchi, il 61% degli intervistati afferma di non avere un programma di intelligence per anticipare possibili minacce dall’esterno. Riguardo alla preparazione necessaria per una gestione efficace dei rischi, il 58% dichiara di avere un livello di maturità poco adeguato in materia di protezione dei dati personali, e il 71% un livello non adeguato di consapevolezza e formazione in materia di sicurezza delle informazioni. Quanto alla capacità di gestione di un attacco informatico, il 63% degli intervistati in Italia dichiara di non avere una strategia di comunicazione predefinita e neppure un piano da applicare nel caso in cui l’azienda sia sottoposta a un attacco informatico con relativa perdita o sottrazione di dati. Di contro, il 95% degli intervistati dichiara di disporre di un Security operations center (Soc), ma solo il 19% dei recenti incidenti di sicurezza significativi sono stati rilevati tramite questo strumento. Da qui, la necessità di evoluzione degli attuali Soc delle aziende italiane.

Dipendenti negligenti. A livello globale, i molteplici tipi e fonti di aggressione che devono fronteggiare le aziende sono gli attacchi comuni, che utilizzano le vulnerabilità note con strumenti facilmente reperibili sul mercato e che richiedono poca esperienza; gli attacchi avanzati, che invece usano vulnerabilità complesse e spesso conosciute, «zero-days», tool e tecnologie sofisticate; gli attacchi emergenti, che mirano su nuovi vettori di attacco, vulnerabilità abilitate dalle nuove tecnologie, sono basati su ricerche specifiche che mirano all’identificazione di nuove vulnerabilità. I recenti attacchi informatici che hanno avuto maggiore successo hanno utilizzato metodologie classiche che sfruttano vulnerabilità note. Secondo gli intervistati, il malware (64% rispetto al 52% nel 2016) e il phishing (64% rispetto al 51% dell’anno scorso) sono percepiti come le minacce che hanno maggiormente aumentato l’esposizione delle organizzazioni a rischio negli ultimi 12 mesi. I dipendenti negligenti o inconsapevoli sono considerati la causa principale, e in aumento, della vulnerabilità delle organizzazioni in tema di sicurezza informatica (60% contro il 55% nel 2016). Il 77% degli intervistati considera i dipendenti disattenti come la causa più probabile di attacco, seguita dalla criminalità organizzata (56%) e dai dipendenti malintenzionati (47%). In caso di attacco avanzato, condotto da gruppi sofisticati e ben organizzati, molte aziende sono seriamente preoccupate dell’efficacia dei loro attuali sistemi di sicurezza informatica. Il 75% degli intervistati a livello globale valuta il livello di maturità del proprio sistema di identificazione delle vulnerabilità non adeguato. Un ulteriore 12% dichiara di non avere un programma specifico di rilevamento delle violazioni, mentre il 35% non ha sviluppato un sistema strutturato di policy per la protezione dei dati, e il 38% non ha un sistema di gestione dell’identità e di controllo degli accessi al proprio sistema informatico o non ha formalmente definito tale programma.

© Riproduzione riservata
Fonte:
logoitalia oggi7