Cybersecurity aziendale: uno sguardo globale

Lug 18 2020
a cura della Redazione
Pubblicati da IBM e Trend Micro i report di due indagini che rivelano la sensibilità delle imprese nei confronti della sicurezza informatica. Il quadro che ne emerge evidenzia una maggiore consapevolezza delle minacce e della necessità di farvi fronte, ma anche i molti passi ancora da compiere per conseguire un’autentica resilienza cyber.
(Credit to Dan Nelson - Unsplash)


Cybersecurity aziendale


Cybersecurity aziendale


Cybersecurity aziendale
(Credit to Dan Nelson – Unsplash)

Negli ultimi mesi si è assistito a una accelerazione della trasformazione digitale, dovuta principalmente all’aumentato ricorso a formule di smart working aziendale a causa della pandemia di Covid-19. La nuova organizzazione del lavoro aziendale ha reso necessario coniugare questa tipologia di lavoro flessibile e la sicurezza cibernetica delle infrastrutture, dei dipendenti e, soprattutto, dei loro comportamenti.

IBM (International Business Machines Corporation), una delle più grandi aziende di informatica al mondo, e Trend Micro, multinazionale leader nelle soluzioni di sicurezza informatica e difesa, hanno recentemente pubblicato due report, intitolati rispettivamente “Cyber Resilient Organization Report” e “Head in the Clouds”, che indagano, attraverso lo studio dei dati ottenuti, sulla capacità delle aziende di far fronte ai rischi legati agli attacchi informatici e sui comportamenti dei dipendenti che lavorano da remoto.

La possibilità di fare smart working e l’utilizzo di diversi device, forniti spesso anche dalle aziende, consentono di aumentare la produttività, ma espongono queste ultime al rischio di attacchi informatici. Si evince come, malgrado la consapevolezza riguardo alla cybersecurity e la capacità di predisporre piani per la sicurezza aumentino, il rischio rimanga ancora elevato.

Cyber Resilient Organization Report 2020 di IBM Security

Il quinto rapporto annuale sulla Cyber Resilient Organization di IBM Security si basa sulla ricerca del Ponemon Institute che ha indagato oltre 3.400 professionisti IT e di sicurezza in tutto il mondo nell’aprile 2020, per stabilire la capacità delle loro aziende di rilevare, prevenire, contenere e rispondere agli incidenti di sicurezza informatica.

Per delineare l’evoluzione del panorama della sicurezza, il rapporto esamina per la prima volta in che modo l’utilizzo dei servizi cloud abbia migliorato la resilienza informatica delle organizzazioni e quali siano stati i principali vantaggi. Sono state inoltre aggiunte domande sull’uso, da parte delle aziende, di piani di risposta specifici per affrontare attacchi di sicurezza comuni quali malware e phishing.

Il volume degli incidenti informatici è aumentato, causando gravi interruzioni dei processi IT e di business. Allo stesso tempo, anche la percentuale di aziende che ha dichiarato di aver raggiunto un livello elevato di resilienza informatica è aumentata dal 35% nel 2015 al 53% nel 2020 (il 51% in più in 5 anni). Un’impresa cyber resiliente può essere definita come quella che previene, rileva, contiene e risponde nel modo più efficace a un numero notevole di gravi minacce ai dati, applicazioni e infrastrutture IT. 

Tra i risultati chiave della ricerca sono da evidenziare:

– Il numero delle aziende che ha adottato un piano di security strutturato è passato dal 18% nel 2015 al 26% nel 2020 (aumento del 44%);

– Tra le aziende che hanno adottato un piano strutturato, solo un terzo (il 17% del totale) ha anche realizzato manuali specifici con le indicazioni per fronteggiare gli attacchi cyber più diffusi, ma risulta meno preparato riguardo alle minacce emergenti, come il ransomware;

– Le società che utilizzano più di 50 tool di sicurezza hanno una capacità di rilevare un attacco inferiore all’8% e una capacità di fronteggiarlo inferiore al 7%;

– Le aziende che dispongono di piani di sicurezza hanno meno probabilità di subire interruzioni significative in caso di attacco cibernetico.

In generale, il report ha evidenziato come l’utilizzo di un numero eccessivo di tool di sicurezza e la mancanza di linee guida specifiche per contrastare gli attacchi informatici più diffusi rendano le aziende vulnerabili.

Cyber Resilient Organization Report 2020.

Cybersecurity aziendale


Cybersecurity aziendale


Cybersecurity aziendale


Cybersecurity aziendale
Cyber Resilient Organization Report 2020.
I CSIRP riducono al minimo l’interruzione dell’attività

Lo studio ha anche mostrato come solo il 33% delle società che hanno realizzato un piano di cybersecurity strutturato (Cyber Security Incident Response Plan – CSIRP) disponesse effettivamente di procedure dedicate a specifiche tipologie di minacce. Per di più, il 51% degli intervistati ha affermato che i propri CSIRP non sono stati applicati in modo coerente in tutta l’azienda o, peggio ancora, il piano era informale o ad hoc. Le procedure più diffuse sono quelle dedicate agli attacchi DDoS (distributed denial of service), 64%, e ai malware (spyware, virus, trojan e worm), 57%, ossia quelli più diffusi, anche se lo studio mostra come il ransomware sia in crescita. Negli ultimi anni, gli attacchi ransomware sono infatti aumentati del 70% circa, e ciononostante solo il 45% degli intervistati ha dichiarato di disporre di piani specifici per fronteggiarli. Oltre la metà di coloro che hanno predisposto CSIRP ha dichiarato di non aver mai effettuato aggiornamenti, previsto collaudi o verifiche periodiche. I cambiamenti nei processi aziendali, che si sono verificati rapidamente negli ultimi mesi, hanno reso più semplice la creazione di nuove tipologie di attacco e aumentano i rischi per le organizzazioni che fanno affidamento su piani di security obsoleti, non allineati ai nuovi scenari.

Wendi Whitmore, vicepresidente IBM X-Force Threat Intelligence, ha affermato: “Molte organizzazioni hanno compreso l’importanza di disporre di piani di sicurezza, che presuppongono un insieme di attività strutturate. Le organizzazioni devono anche pianificare regolarmente test, simulazioni e verifiche per essere sempre efficienti. Facendo leva sull’interoperabilità delle tecnologie e sull’automazione, è possibile vincere le sfide della complessità ed essere più rapidi nel contenere un attacco informatico.”

Head in the Clouds di Trend Micro

Il report pubblicato il 1° luglio da Trend Micro ha avuto l’obiettivo di mostrare l’atteggiamento dei lavoratori “da remoto” nei confronti del tema sicurezza informatica e policy aziendali IT. Nello specifico, ha rivelato come non ci sia mai stato un momento migliore per le aziende per trarre vantaggio dall’accresciuta consapevolezza della cybersecurity dei dipendenti (ad esempio durante il periodo di lockdown, il 73% degli italiani che ha lavorato in modalità smart working ha ammesso di aver sviluppato una maggior consapevolezza nei confronti della cybersecurity).

La ricerca è stata condotta da Sapio Research a maggio 2020, su commissione di Trend Micro, e ha coinvolto 13.200 lavoratori da remoto in 27 Paesi. Il campione italiano era formato da 506 dipendenti presso aziende di diverse dimensioni e tipologia.

L’alto livello di consapevolezza è indicato dai risultati pubblicati: l’85% degli intervistati (88% del campione di dipendenti italiani) afferma di seguire attentamente le istruzioni del proprio team IT, l’81% (86% del campione italiano) concorda sul fatto che la sicurezza informatica all’interno della propria azienda è parte delle proprie responsabilità. Inoltre, il 64% (64% del campione italiano) riconosce che l’utilizzo di applicazioni non ufficiali su un dispositivo aziendale costituisce un rischio per la sicurezza.

Tuttavia, nonostante la maggior comprensione del rischio, non tutti ancora si attengono alle regole. La ricerca ha constatato ad esempio che:

– Il 56% (51% del campione italiano) dei dipendenti ammette di utilizzare un’applicazione non lavorativa su un dispositivo aziendale e il 66% (34% del campione italiano) di essi ha effettivamente caricato dati aziendali su tale applicazione;

– L’80% (74% del campione italiano) degli intervistati confessa di utilizzare il proprio laptop di lavoro per la navigazione a scopo personale e solo il 36% (79% del campione italiano) di essi ha impostato limitazioni ai siti visitabili;

– Il 39% (37% del campione italiano) degli intervistati afferma di accedere spesso o sempre ai dati aziendali da un dispositivo personale, quasi sicuramente infrangendo la politica di sicurezza aziendale;

– L’8% (11% del campione italiano) degli intervistati ammette di guardare o accedere a siti pornografici sul proprio laptop aziendale e il 7% (5% del campione italiano) accede al dark web;

– Il 21% consente l’accesso al dispositivo aziendale ad altre persone non autorizzate (partner, familiari, amici o bambini).

Ma per molti utenti la produttività vince ancora sulla scurezza. Infatti, un terzo degli intervistati (34%) concorda sul fatto di non pensare molto al fatto che le app che usa possano essere sanzionate o meno dall’IT aziendale, poiché vogliono solo che il lavoro sia fatto. Inoltre, il 29% pensa di poter utilizzare un’applicazione non fornita dall’azienda, poiché le soluzioni fornite dalla propria azienda sono “nonsense” o non ottimali.

I quattro dipendenti tipo definiti dalla dott.ssa Kaye nella seconda fase della ricerca: pauroso, coscienzioso, ignorante e temerario. (Immagine da: Trend Micro)
I quattro dipendenti tipo definiti dalla dott.ssa Kaye nella seconda fase della ricerca: pauroso, coscienzioso, ignorante e temerario. (Immagine da: Trend Micro)
La seconda fase della ricerca di Trend Micro

Le ricerche della dottoressa Linda Kaye, accademica di cyberpsicologia presso la Edge Hill University, rappresentano la seconda parte del report. Trend Micro ha commissionato a Kaye la definizione di un profilo di quattro dipendenti tipo, basandosi sui loro comportamenti di sicurezza informatica: pauroso, coscienzioso, ignorante e temerario. Ha affermato riguardo al suo studio: “I lavoratori sono molto diversi tra di loro e ci sono molti aspetti da considerare e che influenzano il comportamento, come i valori, le responsabilità aziendali e la personalità. Le aziende devono considerare queste differenze nel momento in cui effettuano corsi di formazione sulla cybersecurity con l’obiettivo di raggiungere una maggiore efficacia”.

Bharat Mistry, Principal Security Strategist di Trend Micro ha commentato: “Nel mondo interconnesso di oggi, ignorare senza vergogna l’orientamento alla sicurezza informatica non è più un’opzione praticabile per i dipendenti. È incoraggiante vedere che così tanti prendono sul serio i consigli del proprio team IT aziendale. Detto questo, ci sono persone che sono o beatamente ignoranti o, peggio ancora, pensano che la cybersecurity non sia applicabile, e pertanto infrangeranno regolarmente le regole. Quindi, avere un unico formato adatto a tutti i programmi di sensibilizzazione sulla sicurezza non è un vantaggio, poiché i dipendenti diligenti finiranno spesso per essere penalizzati. Un programma di formazione su misura progettato per soddisfare i bisogni dei dipendenti potrebbe essere più efficace.”

Uno sguardo al futuro

Il ricorso a policy aziendali e a una esaustiva formazione e informazione del lavoratore da remoto costituisce sicuramente un vantaggio; ma per proteggere i dati aziendali in modo efficace, è determinante l’utilizzo di strumenti hardware e software costruiti in funzione della protezione del patrimonio informativo.

L’approccio che le aziende adottano per la formazione è fondamentale per garantire che vengano seguite pratiche sicure, un approccio che può essere personalizzato. Anche se per far sì che il lavoro a distanza funzioni, dovrà esserci un alto grado di fiducia tra i manager e i loro team.

Entrambi i report evidenziano come ci sia bisogno di investimenti in piani strutturati e di personale qualificato per rendere l’azienda sempre più resiliente ai cyber attacchi: integrare gli strumenti attraverso ambienti multi-cloud, rilevare minacce, orchestrare la propria risposta, riparare e recuperare saranno i prossimi step da implementare.

(Credit to Adi Goldstein - Unsplash)
(Credit to Adi Goldstein – Unsplash)

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.