Secondo una recente indagine, in molte organizzazioni europee esiste un evidente divario tra la percezione dei decision maker in ambito IT e la realtà

Sicurezza IoT: quattro consigli per i service provider

Secondo una recente indagine – volta a scoprire il punto di vista delle organizzazioni europee sulla sicurezza informatica – esiste un evidente divario fra le misure preventive che i decision maker in ambito Information Technology (ITDM) affermano di adottare e quelle effettivamente implementate.

L’83% delle persone coinvolte dallo studio – ITDM delle organizzazioni europee in sei paesi, Germania, Regno Unito, Francia, Italia, Spagna e Romania – concorda sul fatto che prendere precauzioni possa davvero aiutare nella prevenzione dai cyberattacchi; in Italia la posizione è molto simile a quella europea (82%); solo il 41% mette a disposizione di tutti i dipendenti dei corsi in tema di sicurezza (in Italia il 39,4%), mentre il 53% pensa che la propria organizzazione disponga di politiche davvero forti nel campo della cybersecurity. Nel nostro paese c’è meno positività circa l’efficacia delle politiche adottate (buone per il 47,6% degli intervistati nel nostro paese). La stragrande maggioranza dei decision maker in ambito IT ha inoltre dichiarato che, in caso di violazione dell’organizzazione per cui lavorano, vorrebbe sapere chi si cela dietro il cyberattacco, con una percentuale che arriva quasi a toccare l’80% (il 73% per l’Italia).

Il divario tra percezione e realtà

Il fatto che la sicurezza informatica abbia ottenuto l’attenzione dei media nel corso degli ultimi anni ha fatto sì che le aziende diventassero più consapevoli dei danni complessi che un cyberattacco potrebbe causare loro. Un decision maker in ambito IT su due a livello europeo (51%) ha difficoltà nel fare una stima delle perdite generali derivabili da un possibile cyberattacco; un dato simile è stato registrato anche per l’Italia (48%): questo perché si rendono conto che l’attacco potrebbe essere esteso e potrebbe comportare anche dei danni a livello reputazionale. Le percentuali più alte rispetto a questo tema sono state registrate nel Regno Unito (62%) e in Spagna (54%). Al tempo stesso, il 57% degli ITDM europei (e il 50% di quelli italiani) mostra di essere consapevole del fatto che gli attaccanti siano costantemente al lavoro per migliorare tool e tattiche e trova che per i cybercriminali sia sempre più facile portare a termine degli attacchi senza lasciare nessun indizio circa la loro identità.

Secondo l’indagine, in caso di cyberattacco, il 79% dei decision maker in ambito IT vorrebbe sapere chi si celava dietro l’attacco subìto (in Italia questa percentuale supera il 73,1%). Nonostante questo, il 68% degli intervistati ritiene che la cattura e la consegna nelle mani della giustizia dei cybercriminali siano avvenimenti molto rari. Leggermente più positivi i decision maker in ambito IT italiani, con il 63%.

Vale anche la pena di notare l’esistenza di un divario tra la fiducia che le imprese nutrono nel fatto di essere in grado di fermare eventuali attacchi alla sicurezza informatica e le misure preventive che vengono effettivamente adottate. Più di un intervistato su due a livello europeo (53%), un intervistato su due a livello italiano (50%), crede che la propria organizzazione possa fermare tutti i possibili cyberattacchi al proprio perimetro aziendale e una larga maggioranza (83%) dichiara l’adozione di misure preventive all’interno della propria realtà aziendale per evitare eventuali incidenti in ambito IT. La posizione italiana rispetto a questo tema è molto vicina a quella europea (82%). Se si presta maggiore attenzione ai dettagli, però, la realtà appare diversa dalla percezione del rischio e della capacità di fronteggiarlo: il 53% dei responsabili delle decisioni in materia di sicurezza informatica sono concordi sul fatto che la propria organizzazione disponga di politiche solide in fatto di sicurezza (in Italia siamo meno positivi, con una percentuale intorno al 47,6%), ma solo quattro aziende europee su dieci (41% secondo i dati europei, il 39,4% secondo quelli italiani) forniscono effettivamente formazione in tema di cybersecurity a tutti i dipendenti, con le percentuali di Francia e il Regno Unito che raggiungono, rispettivamente, il 33% e il 34%. Purtroppo, più di una volta è emersa l’enorme differenza tra politiche di sicurezza scritte e quelle effettive ed è ormai chiaro che stabilire politiche di sicurezza senza una formazione appropriata e sistematica per i dipendenti non è affatto utile.

Le aziende che forniscono formazione sulla cybersecurity ai propri team IT sono leggermente più di quelle che forniscono occasioni di training a tutti i dipendenti: in generale in Europa 43% contro 41%. L’Italia è il solo paese dove questa situazione è invertita: la formazione in sicurezza informatica viene fornita a tutti i dipendenti nel 39,4% dei casi, mentre è riservata ai team IT solo per il 36,6%. Ad ogni modo, questi numeri non sono sufficienti, soprattutto se si considerano i risultati di alcune ricerche precedenti: quasi la metà (46%) degli incidenti di cybersecurity avvenuti nel 2017 è stata causata da un errore umano da parte dei dipendenti, la maggior parte dei quali lavorava proprio in dipartimenti diversi da quelli IT.

Più intelligence, miglior preparazione per combattere gli intrusi

Dall’indagine emerge comunque un aspetto positivo: quasi un terzo delle imprese europee utilizza rapporti sull’intelligence delle minacce (30%), l’Italia arriva al 28%. Questo suggerisce che i decision maker in ambito IT si rendono sempre più conto dell’importanza di un’intelligence delle minacce di alta qualità rivolta ai team IT per la preparazione della miglior tattica di incident response possibile.

Commentando i risultati dell’indagine, Morten Lehn, General Manager Italy di Kaspersky Lab, ha dichiarato: “La consapevolezza in merito alle cyberminacce è un passo fondamentale nella strada che porta alla protezione dalle minacce informatiche, sia per gli utenti all’interno delle aziende, sia per quelli privati. Non si può preparare una difesa adeguata se non si ha questa consapevolezza. Se, da un lato, è stato rassicurante vedere che molte organizzazioni europee comprendono le complessità del mondo del cybercrime e agiscono di conseguenza, dall’altro è preoccupante vedere che un’organizzazione europea su dieci non prende ancora alcuna misura preventiva contro i cyberattacchi, probabilmente convinti da un’idea ormai sorpassata e per niente corretta, quella del “forse a noi non capiterà.” Com’è stato dimostrato più volte, le misure preventive e una difesa adeguata sono molto più convenienti dal punto di vista economico rispetto al possibile danno causato da un cyberattacco disastroso, che potrebbe portare anche alla fine di una realtà aziendale. Ultima cosa, ma non meno importante: l’idea dei decision maker in ambito IT, quella secondo la quale gli attaccanti affronterebbero raramente le conseguenze delle loro azioni, sottolinea, ancora una volta, quanto sia fondamentale avere la competenza necessaria per investigare sui cyberattacchi, spesso con pochissimi indizi su cui basarsi e con false flag da evitare, e quanto sia importante incoraggiare la collaborazione fra vendor del mondo della cybersecurity e forze dell’ordine.”