Solo nel 2022, i cyberattacchi a livello globale – complice anche la guerra in Ucraina – sono aumentati del 38%, causando ingenti perdite economiche e di reputazione. Nel frattempo, i budget per la sicurezza aziendale sono aumentati significativamente a causa della crescente sofisticazione delle strategie di attacco e del numero di soluzioni di cybersecurity introdotte sul mercato.
L’incremento della spesa riconducibile alla cybersecurity è proporzionale all’incremento di sicurezza reale? Quali sono i settori più colpiti dalle minacce informatiche, e quali quelli più preparati ad affrontarle?
Rapporto sulla maturità della cyber security
È interessante a questo proposito analizzare il Cybersecurity Maturity Report 2023 pubblicato da CYE[1], che affronta queste domande offrendo una panoramica dell’adeguatezza delle misure di difesa informatica in diversi settori di impresa, tenendo conto di dimensioni societarie e Paese d’appartenenza.
Il rapporto evidenzia quali sono i settori e i Paesi con le posture di sicurezza informatica più robuste e quali invece sono in ritardo, nonché le vulnerabilità più diffuse nell’attuale panorama delle minacce cyber. L’analisi si basa su due anni di dati, raccolti da oltre 500 organizzazioni in 15 Paesi, in 11 settori e con aziende di diverse dimensioni. Misura inoltre la maturità della cybersecurity in sette diversi ambiti di sicurezza, tra cui la sicurezza a livello di applicazione, la sicurezza a livello di rete, la gestione delle identità e l’accesso remoto e altro ancora.
Budget più elevati non implicano necessariamente una più efficace sicurezza dei sistemi informatici
Tra i Paesi analizzati, la Norvegia ha ottenuto il punteggio più alto per quanto riguarda il livello complessivo di maturità della cybersecurity, seguita da Croazia e Giappone. Sebbene questi Paesi non dispongano di budget consistenti per la cybersecurity come quelli di Stati Uniti, Regno Unito e Germania, dispongono di efficaci e moderni sistemi regolatori. Altri possibili motivi per cui Norvegia, Croazia e Giappone sono in testa alla classifica sono una radicata cultura della cybersecurity ed un’adozione già di lungo corso delle best practices in materia (grazie spesso ad un costante coordinamento tra governi e organizzazioni private).
Il risultato, quasi sorprendentemente, mostra come ingenti investimenti finanziari non necessariamente si traducano in alti livelli di maturità ovvero, variando il punto di vista, si possono costruire ottime fondamenta anche con budget limitati, a fronte di una progettazione accurata e una programmazione di lungo periodo.
Le aziende tecnologiche ottengono un punteggio medio nella capacità di difesa dagli attacchi informatici
Tra i diversi settori, quello energetico e quello finanziario hanno ottenuto il massimo livello di maturità complessiva in materia di cybersecurity, mentre quello della sanità, della gestione del retail e delle amministrazioni pubbliche sono risultati tra i più bassi.
Contrariamente a ciò che sarebbe lecito attendersi, il settore tecnologico ha ottenuto solo un punteggio medio, probabilmente dovuto in gran parte alla maggiore superficie di attacco che queste aziende devono tipicamente difendere rispetto ad altri settori.
Il punteggio medio potrebbe anche essere dovuto al fatto che le aziende del settore tecnologico generalmente sono dotate di strutture sì più moderne ma anche meno “rodate”, potenzialmente più vulnerabili ad attacchi zero day ed exploit. Inoltre, le aziende tecnologiche tendono a crescere molto più rapidamente che in altri settori, ponendo una sfida più ardua (rispetto a perimetri consolidati nel tempo) al mantenimento di una corretta postura difensiva.
Le piccole e medie imprese ottengono punteggi più alti rispetto alle grandi organizzazioni
Un altro risultato fortemente controintuitivo è quello derivato dall’analisi della postura difensiva in relazione alla grandezza dell’organizzazione: le aziende di piccole e medie dimensioni hanno ottenuto punteggi migliori in termini di maturità della cybersecurity rispetto alle organizzazioni con oltre 10.000 dipendenti.
Questo potrebbe essere dovuto al fatto che le piccole imprese possono avere più facilità nel proteggere le loro più limitate superfici di attacco.
Al crescere dell’azienda, poi, diventa maggiore la consapevolezza dell’importanza della cyber defense e aumentano conseguentemente investimenti e capacità difensiva, in un terreno in cui la media impresa ha la giusta scalabilità per trovare agevolmente il trade-off ideale tra costo e beneficio.
Le grandi organizzazioni, invece, pure a fronte di indiscutibile effort e awareness, si trovano a dover difendere una superficie di attacco molto ampia e ciò, conseguentemente, ha chiaro impatto sul livello di maturità complessivo più basso in ambito di cybersecurity.
Quasi un terzo delle aziende non dispone di policy efficaci in materia di password
Lo studio ha rivelato che il 32% delle organizzazioni dispone di policy inadeguate in materia di password, un problema facilmente risolvibile che, a quanto pare, ancora oggi le aziende non affrontano con la giusta consapevolezza.
Inoltre, il 23% delle organizzazioni è risultato avere meccanismi di autenticazione deboli. Si tratta di un dato preoccupante, perché la combinazione di questi due fattori di rischio (password e criteri di autenticazione inadeguati) aumenta esponenzialmente la probabilità di accesso fraudolento ai sistemi da parte di agenti malevoli.
Verso una migliore postura difensiva
Se c’è una “lezione” che possiamo trarre dallo studio qui presentato è che ad oggi la maggior parte delle organizzazioni non è sufficientemente preparata contro la minaccia di cyberattacchi. Tuttavia, una buona pianificazione degli obiettivi di adeguamento e una corretta programmazione delle spese possono portare le imprese al raggiungimento di un soddisfacente livello di maturità in materia di cybersecurity con un budget sostenibile.
Consolidare la postura difensiva di un’organizzazione implica che il management abbia ben chiari gli obiettivi di medio-lungo periodo:
- investire in competenze, prima che in strumenti;
- eseguire assessment esaustivi per evitare che gli hacker sfruttino le vulnerabilità;
- sviluppare un approccio integrato alla cybersecurity con accountability a livello di consiglio di amministrazione.
Il taluni casi l’organizzazione potrebbe non disporre internamente delle competenze necessarie per raggiungere gli obiettivi prefissati: l’ausilio e il supporto di esperti di settore deve pertanto essere considerato dal management non un costo ma un investimento sulla cybersicurezza e resilienza del business.
Crescita sinergica di tecnologie, persone e processi, oltre che un puntuale assessment del rischio cibernetico, sono la chiave per una piena consapevolezza delle minacce cibernetiche cui si è sottoposti e per determinare priorità di mitigazione e perimetro di difesa.
