La dipendenza dalla difesa perimetrale ostacola lo sviluppo delle abilità di Incident Response
RSA, la Security Division di EMC, ha pubblicato il report che evidenzia come le aziende che investono in tecnologie di “Detection & Response” – piuttosto che su quelle basate su soluzioni perimetrali – siano più reattive quando devono difendersi da cyber incidenti.
Il secondo report annuale “RSA Cybersecurity Poverty Index”, che raccoglie i risultati della survey condotta su un panel di 878 intervistati e più di 24 aziende in 81 Paesi, ha coinvolto più del doppio del numero di partecipanti rispetto all’anno scorso, e ha offerto loro la possibilità di auto-valutare il livello di maturità dei propri programmi di Cybersecurity utilizzando come criterio di comparazione il NIST Cybersecurity Framework (CSF).
Anche quest’anno, la ricerca dimostra come il 75% degli intervistati è sensibilmente esposto agli incidenti di Cybersecurity: le capacità di Incident Response (IR) sembrano essere non particolarmente sviluppate. Addirittura, quasi Circa la metà delle organizzazioni dichiara di volerle acquisire solo in seguito al verificarsi di violazioni della sicurezza o di incidenti. L’indagine evidenzia inoltre come la maggior parte delle organizzazioni continua ad avere forti difficoltà nel migliorare l’area della sicurezza informatica, a causa di una scarsa comprensione dell’influenza e dell’impatto dei Cyber-Risk sulle proprie attività. Non sono poche le aziende che hanno posticipato gli investimenti nello sviluppo della propria Cybersecurity a quando si sono verificati incidenti o violazioni della sicurezza. Per altro, le aziende che prediligono un approccio di “Perimeter-Defense” risultano in forte difficoltà nell’identificare potenziali minacce, con il rischio di esporre pubblicamente ed in modo critico i propri asset principali.
I risultati dell’RSA Cybersecurity Poverty Index confermano queste tendenze, evidenziando come le aziende che sono in grado di identificare ed affrontare frequenti incidenti di Cybersecurity, nel 65% dei casi hanno sviluppato queste capacità in precedenza.
Rispetto all’indagine del 2015, si nota un consistente aumento delle organizzazioni dotate di programmi di cybersecurity maturi. La percentuale delle organizzazioni classificate nella categoria “advantaged capabilities” è passata dal 4.9% al 7.4%. Ma la percezione generale che le organizzazioni hanno della loro capacità di affrontare rischi legati alla sicurezza informatica non è positiva: il 75% degli intervistati dichiara che la propria organizzazione è esposta ai rischi.
L’indagine rileva inoltre alcune criticità da parte delle aziende a muoversi proattivamente per rafforzare la propria Cybersecurity e a giudicare correttamente la propria propensione al rischio. In generale, il 45% degli intervistati ammette difficoltà nel catalogare e nel saper valutare i rischi; solo il 24% si dichiara “maturo” al riguardo. L’incapacità di quantificare la propria propensione ai Cyber Risk rende difficile l’assegnazione di priorità e di investimenti, fondamentali per migliorare la propria sicurezza.
Anche quest’anno, i risultati del report sottolineano la necessità che chi opera nelle infrastrutture critiche – il target di riferimento originario per il CSF- debba raggiungere un più alto livello di maturità. Pubblica Amministrazione e Energy sono i settori nei quali gli operatori intervistati dichiarano di avere minori capacità: solo il 18% ritiene di avere capacità sviluppate o avanzate. Nel settore aerospaziale e difesa questa percentuale sale al 39%, in quello finanziario si attesta al 26%, in calo rispetto allo scorso anno (33%).
Guardando invece le aree geografiche, le organizzazioni statunitensi si posizionano dietro a EMEA e APJ per quanto riguarda il loro livello di maturità in cybersecurity; in EMEA, il 29% delle organizzazioni presenta strategie sviluppate o avanzate, mentre la percentuale scende al 26% in APJ e al 23% negli Stati Uniti.
