TradeManager Il portale italiano dedicato al Canale ICT
Ricerca RSA: la dipendenza dalla difesa perimetrale ostacola lo sviluppo delle abilità di Incident Response
RSA, la Security Division di EMC, ha pubblicato il report che evidenzia come le aziende che investono in tecnologie di “Detection & Response” – piuttosto che su quelle basate su soluzioni perimetrali – siano più reattive quando devono difendersi da cyber incidenti.
Il secondo report annuale “RSA Cybersecurity Poverty Index”, che raccoglie i risultati della survey condotta su un panel di 878 intervistati e più di 24 aziende in 81 Paesi, ha coinvolto più del doppio del numero di partecipanti rispetto all’anno scorso, e ha offerto loro la possibilità di auto-valutare il livello di maturità dei propri programmi di Cybersecurity utilizzando come criterio di comparazione il NIST Cybersecurity Framework (CSF).
Anche quest’anno, la ricerca dimostra come il 75% degli intervistati sia esposto agli incidenti di Cybersecurity: le capacità di Incident Response sembrano essere non particolarmente sviluppate. Quasi la metà delle organizzazioni dichiara di volerle acquisire solo in seguito a violazioni della sicurezza o di incidenti. L’indagine evidenzia come la maggior parte delle organizzazioni continui ad avere forti difficoltà nel migliorare l’area della sicurezza informatica, a causa di una scarsa comprensione dell’influenza e dell’impatto dei Cyber-Risk sulle proprie attività. Non sono poche le aziende che hanno posticipato gli investimenti nello sviluppo della propria Cybersecurity a quando si sono verificate violazioni della sicurezza. Per altro, le aziende che prediligono un approccio di “Perimeter-Defense” risultano in forte difficoltà nell’identificare potenziali minacce, con il rischio di esporre pubblicamente ed in modo critico i propri asset principali.
I risultati dell’RSA Cybersecurity Poverty Index confermano queste tendenze, evidenziando come le aziende che sono in grado di identificare ed affrontare frequenti incidenti di Cybersecurity, nel 65% dei casi hanno sviluppato queste capacità in precedenza.
Rispetto all’indagine del 2015, si nota un consistente aumento delle organizzazioni dotate di programmi di cybersecurity maturi. La percentuale delle organizzazioni classificate nella categoria “advantaged capabilities” è passata dal 4.9% al 7.4%. Ma la percezione generale che le organizzazioni hanno della loro capacità di affrontare rischi legati alla sicurezza informatica non è positiva: il 75% degli intervistati dichiara che la propria organizzazione è esposta ai rischi.
L’indagine rileva inoltre alcune criticità da parte delle aziende a muoversi proattivamente per rafforzare la propria Cybersecurity e a giudicare correttamente la propria propensione al rischio. In generale, il 45% degli intervistati ammette difficoltà nel catalogare e nel saper valutare i rischi; solo il 24% si dichiara “maturo” al riguardo. L’incapacità di quantificare la propria propensione ai Cyber Risk rende difficile l’assegnazione di priorità e di investimenti, fondamentali per migliorare la propria sicurezza.
Anche quest’anno, i risultati del report sottolineano la necessità che chi opera nelle infrastrutture critiche – il target di riferimento originario per il CSF- debba raggiungere un più alto livello di maturità. Pubblica Amministrazione e Energy sono i settori nei quali gli operatori intervistati dichiarano di avere minori capacità: solo il 18% ritiene di avere capacità sviluppate o avanzate. Nel settore aerospaziale e difesa questa percentuale sale al 39%, in quello finanziario si attesta al 26%, in calo rispetto allo scorso anno (33%).
Aree geografiche e Cybersecurity
Guardando invece le aree geografiche, le organizzazioni statunitensi si posizionano dietro a EMEA e APJ per quanto riguarda il loro livello di maturità in cybersecurity; in EMEA, il 29% delle organizzazioni presenta strategie sviluppate o avanzate, mentre la percentuale scende al 26% in APJ e al 23% negli Stati Uniti.
Per determinare il livello di maturità della propria Cybersecurity, gli intervistati hanno auto-valutato le proprie capacità confrontandole con il NIST Cybersecurity Framework (CSF), uno strumento ideato per fornire assistenza basandosi sugli standard attuali, sulle linee guida e sulle precedenti casistiche per la riduzione di Cyber Risk, sviluppato in collaborazione tra mondo delle imprese e governo. Progettato negli Stati Uniti per ridurre i Cyber-Risk, le organizzazioni di tutto il mondo ritengono questo strumento fondamentale nella gestione dei Cyber-Risk. Risulta quindi un ottimo punto di riferimento per valutare le capacità di base nella gestione della Cybersecurity e dei Cyber-Risk di qualsiasi organizzazione. Le aziende hanno espresso il loro parere su 5 ambiti definite dal CSF: Identificazione, Protezione, Individuazione, Risposta e Recupero. I punteggi per la classificazione sono stati attribuiti in una scala da 1 a 5, dove 1 significava l’assenza di una capacità e 5 la massima.
Amit Yoran, Presidente di, RSA, la Security Division di EMC, ha dichiarato: “Questa seconda ricerca sulla Cybersecurity prova in maniera concreta come le organizzazioni e le aziende di tutto il mondo, di ogni dimensione e di ogni settore, si sentano impreparate ad affrontare cyber attacchi. E’ necessario rivalutare il modo in cui viene considerata la sicurezza, andando oltre le semplici misure preventive e sviluppando una strategia che enfatizzi la “Detection & Response”. Le aziende devono intervenire proattivamente costruendo piani d’azione, non aspettare di agire solo quando vengono attaccate”.
