All’intermo delle organizzazioni è in atto un forte cambiamento, che porta a ripensare la gestione del rischio cyber, ad adottare framework integrati di Cyber Risk Management, a far evolvere il monitoraggio della security adottando strumenti opportuni, a diffondere una cultura sul tema e una maggiore security awareness.
Giunto alla sua undicesima edizione, il Global Risks Report 2016 del World Economic Forum prende quest’anno in considerazione come i rischi globali potrebbero evolvere ed interagire tra loro nel prossimo decennio. Ad esempio, quale potrebbe essere l’impatto del cambiamento climatico sulla sicurezza alimentare, o il potenziale di una pandemia in termini di coesione sociale.
Il 2014 sarà un anno da ricordare sul fronte degli incidenti di Sicurezza, con data breaches che hanno conquistato le prime pagine dei giornali quasi a cadenza regolare – l’anno in cui ogni azienda ha smesso di considerarsi sicura. I dipartimenti IT delle aziende si sono trovati spesso impreparati nel mitigare le minacce, lasciando aperte “ampie finestre temporali” in cui gli attaccanti hanno potuto sfruttare vulnerabilità, portare a segno le proprie infiltrazioni e accedere ai dati dell’impresa.
Dopo che nel 2014 alcuni furti di dati, come il data breach della Morgan Stanley o le rivelazioni di Edward Snowden, hanno ricevuto grande enfasi sui media, ai più è apparso evidente quanto può essere pericolo un Insider Threat, ossia, una minaccia Cyber che ha origine all’interno dell’organizzazione.
Quali sono i passaggi indispensabili da attuare nella definizione di una corretta strategia di mitigazione del rischio cyber, che tenga anche conto della copertura con polizza assicurativa (Cyber Insurance) per il trasferimento – almeno di in parte – del rischio di incorrere in perdite economiche o contenziosi con terze parti?
Secondo il Cybersecurity Poverty Index di RSA, indagine annuale di autovalutazione sulla maturità del programma di Cybersecurity che usa come metro di misura il Cybersecurity Framework (CSF) del NIST, c’è ancora molto lavoro da fare per migliorare le capacità in materia di risk management e sicurezza informatica indipendentemente dalle dimensioni dell’azienda, dalla geografia o dal settore verticale.
