Cybersecurity, i dipendenti sbadati spaventano più degli hacker

dipendenti sbadati

Dipendenti sbadati. I top manager delle grandi aziende, rileva la survey globale di EY, non hanno dubbi: il fattore interno è la causa più probabile di un attacco. La percezione dei rischi aumenta, ma gli investimenti restano inadeguati. In Italia mancano i piani di reazione in caso di perdita dei dati.
Oltre il 60% delle aziende in tutto il mondo si sente più a rischio di attacco informatico rispetto a un anno fa. I budget non sono ancora adeguati all’evoluzione quantitativa e qualitativa del cybercrime, tanto che solo il 12% delle organizzazioni sostiene di essere in grado di rilevare un’offensiva sofisticata con i mezzi a disposizione. malware e il phishing rappresentano le due preoccupazioni principali, mentre la negligenza e l’inconsapevolezza dei dipendenti sono indicati come cause più probabili di attacco. Senza uno scatto deciso e completo sul fronte della cybersecurity, la trasformazione digitale rischia di trasformarsi in un boomerang.

A delineare questo scenario di profonda paura e scarsa capacità di reazione è la ventesima edizione della EY Global Information Security Survey, intitolata “Cybersecurity regained: preparing to face cyber attacks”, che mette in evidenza numeri e trend allarmanti. Dall’indagine, condotta su un campione di circa 1.200 top manager delle più grandi aziende del mondo, emerge che solo il 4% delle organizzazioni monitora in modo appropriato tutti i rischi rilevanti in tema di minacce e vulnerabilità. Non stupisce quindi che la sensazione di sicurezza sia a livelli bassi: il 65% dei top manager degli intervistati ritiene di essere più a rischio oggi rispetto a 12 mesi fa. Le motivazioni di questa percezione vengono ricondotte alla rapida accelerazione della connettività all’interno delle attività aziendali. Una diffusione digitale che le aziende non stanno fronteggiando come dovrebbero dal punto di vista della sicurezza informatica. Anche e soprattutto in termini di investimento: il 90% delle aziende prevede di incrementare le risorse a budget, ma non abbastanza da poter parlare di svolta. Quasi il 90% dei manager ritiene necessario un aumento degli investimenti del 50%, ma poche aziende registreranno questa crescita (solo il 12% stima un incremento superiore al 25%).

Attenzione però, avverte il report EY, a considerare la questione solo dal punto di vista economico. La difesa contro il crimine informatico ha bisogno anche di strategia e ancor prima di un’adeguata comprensione dei fenomeni (che manca a un quinto delle aziende). “Oggi tra i costi diretti ed indiretti che un attacco può causare, vanno considerati anche la perdita di reputazione, le sanzioni come quelle previste dall’ormai imminente entrata in vigore del Gdpr, ed anche le conseguenze per le aziende – ricorda Fabio Cappelli, partner EY responsabile Cybersecurity per Italia, Spagna e Portogallo –  L’elevato livello di connessione ed il ruolo giocato dall’IoT offrono ai potenziali attaccanti la possibilità di intervenire sul funzionamento dei sistemi industriali e persino su dispositivi che possono porre a rischio la vita delle persone, come ad esempio può accadere negli ospedali”.

L’espansione del raggio di azione criminale è sotto gli occhi di tutti. Le aziende si trovano oggi a dover fronteggiare attacchi differenti, provenienti da vari fonti e spesso contemporaneamente. Da quelli che utilizzano vulnerabilità note, con strumenti facilmente reperibili sul mercato e che richiedono poca esperienza, a quelli avanzati, figli di vulnerabilità complesse spesso sconosciute e tecnologie sofisticate. Senza dimenticare la categoria delle offensive emergenti, che mirano su vettori di attacco inediti e vulnerabilità abilitate dalle nuove tecnologie (si pensi alla nascita dei malware per il mining di criptovaluta all’insaputa dell’utente).

I recenti attacchi informatici di maggior successo hanno però utilizzato in gran parte metodologie classiche che sfruttano vulnerabilità note. E questo è un segno evidente di quanto sia sottovalutato il fenomeno del cybercrime. Ancora oggi, aggiunge il rapporto, il malware e il phishing sono percepiti come le minacce che hanno maggiormente aumentato l’esposizione delle organizzazioni a rischio negli ultimi 12 mesi. Mentre i dipendenti negligenti o inconsapevoli sono considerati la causa più probabile di un attacco, anche più della criminalità organizzata e dei dipendenti malintenzionati.

Da questo quadro complessivo di ritardi e sottovalutazioni non si salva l’Italia. Nel nostro paese, rileva il rapporto EY, siamo molto indietro sulla prevenzione degli attacchi (il 61% dei top manager delle aziende attive sul mercato italiano non ha un programma di intelligence per anticipare possibili minacce dall’esterno) e sulla gestione efficace dei rischi (il 58% segnala un livello di maturità poco adeguato in materia di protezione dei dati personali e il 71% sul versante della consapevolezza e della formazione in tema di sicurezza delle informazioni). Non va meglio sul fronte della reazione: il 63% degli intervistati Italia dichiara di non avere una strategia di comunicazione predefinita e un piano nel caso in cui l’azienda sia sottoposta ad un attacco informatico con relativa perdita o sottrazione di dati. Numeri che secondo gli esperti di EY, confermano la necessità di evoluzione degli attuali Security Operations Center (Soc), che oggi intercettano solo il19% degli incidenti di sicurezza significativi.

E anche di iniziare a ragionare in un’ottica di maggiore collaborazione nella lotta al nemico unico: “Riteniamo che in futuro le aziende collaboreranno tra loro per condividere le conoscenze e aumentare la resilienza cyber che ruota attorno a tre principi: proteggere, rilevare e reagire. Questi imperativi sono oggi più importanti che mai – sottolinea Cappelli – Le aziende che comprendono il panorama delle minacce e si concentrano sulla sicurezza sin dalla progettazione, costruendo solide difese, avranno una chance maggiore di annullare gli attacchi, di identificarli prima e di rispondere in maniera efficace”.
Fonte: Andrea Frollà – Repubblica.it

Questo sito utilizza i cookie per fornire la migliore esperienza di navigazione possibile. Il nostro sito non usa cookie di profilazione. Puoi continuare a navigare in questo sito senza modificare le impostazioni dei cookie o cliccare su "Accetta" permettendo il loro utilizzo. Maggiori informazioni

Questo sito utilizza i cookie per fornire la migliore esperienza di navigazione possibile. Continuando a utilizzare questo sito senza modificare le impostazioni dei cookie o cliccando su "Accetta" permetti il loro utilizzo.

Chiudi