Il 75% delle organizzazioni nel mondo ha ancora oggi un approccio inefficace alla Cybersecurity: è quanto emerge dal report annuale di RSA, Security Division di EMC, che nella Ricerca “RSA Cybersecurity Poverty Index”, ha raccolto i risultati di una survey condotta su un panel di 878 intervistati e più di 24 aziende in 81 Paesi. Rispetto all’edizione dello scorso anno del report RSA, sono stati coinvolti più del doppio del numero di partecipanti.
Nell’indagine viene chiesto alle aziende di auto-valutare il livello di maturità dei propri programmi di Cybersecurity utilizzando come criterio di comparazione il NIST Cybersecurity Framework (CSF).
Il risultato è che ancora oggi troppe aziende si concentrano su investimenti sul fronte delle soluzioni preventive, di controllo perimetrale della sicurezza, e non hanno invece sufficienti capabilites sul fronte della “Detection & Response”.
Ad esempio, non poche aziende hanno posticipato gli investimenti nello sviluppo della propria Cybersecurity a quando si sono verificati incidenti o violazioni della sicurezza. Per altro, le aziende che prediligono un approccio di “Perimeter-Defense” risultano in forte difficoltà nell’identificare potenziali minacce, con il rischio di esporre pubblicamente ed in modo critico i propri asset principali.
L’indagine evidenzia inoltre come la maggior parte delle organizzazioni continua ad avere forti difficoltà nel migliorare in questo ambito a causa di una scarsa comprensione dell’influenza e dell’impatto dei Cyber-Risk sulle proprie attività.
L’indagine rileva inoltre alcune criticità nel muoversi proattivamente per rafforzare la propria Cybersecurity e nel giudicare correttamente la propria propensione al rischio. In generale, il 45% degli intervistati ammette difficoltà nel catalogare e nel saper valutare i rischi; solo il 24% si dichiara “maturo” al riguardo. L’incapacità di quantificare la propria propensione ai Cyber Risk rende difficile l’assegnazione di priorità e di investimenti, fondamentali per migliorare la propria sicurezza.
Con riferimento ai settori in cui sono state individuate minori capacità spiccano Pubblica Amministrazione e Energy, in cui solo il 18% degli intervistati ritiene di avere capacità sviluppate o avanzate. Nel settore aerospaziale e difesa questa percentuale sale al 39%, in quello finanziario si attesta al 26%, in calo rispetto allo scorso anno (33%). Guardando invece le aree geografiche, le organizzazioni statunitensi si posizionano dietro a EMEA e APJ per quanto riguarda il loro livello di maturità in cybersecurity; in EMEA, il 29% delle organizzazioni presenta strategie sviluppate o avanzate, mentre la percentuale scende al 26% in APJ e al 23% negli Stati Uniti.
Unico risultato incoraggiante, rispetto all’indagine del 2015 si nota un aumento delle organizzazioni dotate di programmi di cybersecurity maturi. La percentuale delle organizzazioni best-in-class, classificate nella categoria “Advantaged Capabilities”, è passata infatti dal 4,9% al 7,4%. Ma la percezione generale che le organizzazioni hanno della loro capacità di affrontare rischi legati alla sicurezza informatica non è positiva: il 75% degli intervistati dichiara che la propria organizzazione è esposta ai rischi.
“Questa seconda ricerca sulla Cybersecurity prova in maniera concreta come le organizzazioni e le aziende di tutto il mondo, di ogni dimensione e di ogni settore, si sentano impreparate ad affrontare cyber attacchi – ha commentato Amit Yoran, Presidente di RSA, Security Division di EMC – E’ necessario rivalutare il modo in cui viene considerata la sicurezza, andando oltre le semplici misure preventive e sviluppando una strategia che enfatizzi la “Detection & Response”. Le aziende devono intervenire proattivamente costruendo piani d’azione, non aspettare di agire solo quando vengono attaccate”.
Accedi per scaricare l’Infografica e il Report RSA Cybersecurity Poverty Index.