Cybersecurity, dati a rischio tra “vecchi malware” e minacce evolute

I dati della ventesima edizione dell’Ey global information security survey: gli attacchi già ben noti mietono ancora vittime, anche per i comportamenti negligenti degli utenti. E il 90% dei manager intervistati dice di aver bisogno di più budget per affrontare l’emergenza cybersecurity

Pubblicato il 05 Feb 2018

Data Leak e Data Breach: differenze e danni alle aziende

Il rischio di attacchi informatici va di pari passo con la digital transformation della società e delle imprese, e mettersi al sicuro dagli hacker è ormai una priorità generalmente condivisa. Ma al di là delle enunciazioni, la realtà dimostra che c’è ancora moto da fare, se è vero che a mietere un gran numero di vittime sono ancora attacchi “vecchi”, che dovrebbero aver ormai fatto il proprio tempo, e la una gran parte di questi ha successo per una carenza di consapevolezza nelle vittime, quindi per comportamenti negligenti dei singoli. A fare luce sulle nuove prospettive del settore è la ventesima edizione della EY Global Information Security Survey (Giss), quest’anno intitolata “Cybersecurity regained: preparing to face cyber attack”. Il sondaggio, pubblicato pochi giorni fa, si basa su 1.200 interviste ai top manager di aziende di primo piano su scala globale, per capire quali siano le loro principali preoccupazioni nel campo della sicurezza informatica e che soluzioni abbiamo messo in campo per evitare di correre rischi.

Dalla ricerca emerge che soltanto il 4% delle organizzazioni prese in esame dichiara di aver considerato tutti gli impatti sulla sicurezza della loro attuale strategia e di monitorare in modo appropriato tutti i rischi rilevanti, mentre il 65% degli intervistati ritiene di essere più a rischio oggi rispetto a 12 mesi fa. “Oggi tra i costi diretti e indiretti che un attacco può causare vanno considerati anche la perdita di reputazione, le sanzioni come quelle previste dall’ormai imminente entrata in vigore del Gdpr, e anche le conseguenze per le aziende – sottolinea Fabio Cappelli, Partner EY Responsabile Cybersecurity per Italia, Spagna e Portogallo – L’elevato livello di connessione ed il ruolo giocato dall’IoT offrono ai potenziali attaccanti la possibilità di intervenire sul funzionamento dei sistemi industriali e persino su dispositivi che possono porre a rischio la vita delle persone, come ad esempio può accadere negli ospedali”.

Così oltre il 90% del campione quest’anno incrementerà i propri investimenti per la sicurezza informatica, e una percentuale molto vicina, l’87%, Vorrebbe avere il 50% di risorse in più.

EY – Sulla cybersecurity le aziende sono impreparate

Dalla survey emerge inoltre l’aumento dei rischi derivanti dalle evoluzioni di  strumenti di attacco già ampiamente noti, come i malware, indirizzati però a sfruttare vettori di attacchi nuovi, utilizzando anche vulnerabilità complesse e spesso sconosciute. Tanto che in caso di attacco avanzato molte aziende sono seriamente preoccupate dell’efficacia dei loro attuali sistemi di sicurezza informatica. Il 75% degli intervistati (il 71% in Italia) valuta il livello di maturità del proprio sistema di identificazione delle vulnerabilità non adeguato. Un ulteriore 12% dichiara di non avere un programma specifico di rilevamento delle violazioni, mentre il 35% (il 42% in Italia) non ha sviluppato un sistema strutturato di policy per la protezione dei dati, ed il 38% (il 41% in Italia) non ha un sistema di gestione dell’identità e di controllo degli accessi al proprio sistema informatico o non ha formalmente definito tale programma.

Quanto alla propensione a investire in Cybersecurity, risulta più alta nelle aziende che possono contare su addetti alla sicurezza informatica dedicati nelle principali linee di business, informano almeno due volte l’anno il Consiglio di amministrazione e il Comitato per il controllo interno e identificano i “gioielli della corona” del proprio sistema IT, proteggendoli in modo più accurato.

Passando dal livello globale a quelli italiano, dalla ricerca di EY emerge che il 61% degli intervistati afferma di non avere un programma di intelligence per anticipare possibili minacce, mentre il 58% del campione dichiara di aver un livello di maturità poco adeguato in materia di protezione dei dati personali, e il 71% un livello non adeguato di consapevolezza/formazione in materia di sicurezza delle informazioni.

“In futuro le aziende collaboreranno tra loro per condividere le conoscenze e aumentare la resilienza cyber che ruota attorno a tre principi: proteggere, rilevare e reagire – conclude Cappelli – Questi imperativi sono oggi più importanti che mai: le aziende che comprendono il panorama delle minacce e si concentrano sulla sicurezza sin dalla progettazione, costruendo solide difese, avranno una chance maggiore di annullare gli attacchi, di identificarli prima e di rispondere in maniera efficace”.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati

Articolo 1 di 3