Cyber risk: alta la consapevolezza in azienda ma ancora scarse le azioni di mitigazione

VMware previene il 100% degli attacchi critici testati nella valutazione Engenuity ATT&CK di MITRE

Le aziende italiane dimostrano ampia conoscenza del rischio cyber ma risultano ancora impreparate nell’adozione di piani di risk mitigation, nella promozione di progetti di formazione interna e nell’investimento dei budget aziendali. Allo stesso tempo, l’errore umano risulta il fattore principale di vulnerabilità degli attacchi e le polizze assicurative per i rischi cyber sono ancora poco conosciute.

Sono queste le principali evidenze emerse dalla Cyber Risk Survey patrocinata da ANRA e condotta dall’Università di Verona in collaborazione con Riesko, che ha messo a disposizione la piattaforma per raccogliere ed elaborare i dati atti a rilevare la percezione del cyber risk da parte delle organizzazioni.

L’analisi è stata strutturata su un campione di circa 250 aziende, di cui più della metà appartenenti al settore “informatica ed elettronica” e “finanza, assicurazione ed amministrazione”.

I principali insight dell’analisi:

  • Il mondo delle aziende ha ormai sviluppato una importante sensibilità rispetto ai rischi cyber: il 72% dichiara di averne un’alta consapevolezza ma tale rischio viene percepito come principalmente tecnico piuttosto che strategico;
  • Solo poco più della metà (il 55%) ha adottato un piano operativo di risk mitigation in azienda;
  • Ancora molto lavoro da fare per colmare il gap tra grado di consapevolezza e azioni proattive: solo il 49% dei rispondenti adotta programmi di formazione HR e nel 70% dei casi l’investimento in questi processi è minimo: meno del 15% del budget;
  • Il principale fattore di vulnerabilità è nel 68% dei casi l’errore umano;
  • Sebbene spesso insufficienti, la metà delle organizzazioni considera i propri sistemi di trattamento adeguati;
  • Se la maggior parte – il 58% – delle aziende conosce gli strumenti assicurativi per fronteggiare i rischi cyber e la metà (49-51%) li adotta, il 32% delle aziende esprime ancora delle riserve sul loro utilizzo.
Leggi anche:  Proteggere con efficacia gli eventi a livello globale: le fasi da seguire secondo Mandiant

La percezione del rischio cyber è alta ma principalmente legata all’IT

Le aziende hanno ormai ben chiaro che gli attacchi cyber rappresentano un rischio per la propria organizzazione: il 72% degli intervistati ritiene di possedere una conoscenza adeguata riguardante i rischi cyber e della sicurezza informatica.

Inoltre, il 70% possiede una buona conoscenza dell’impatto che la Sicurezza Informatica ha sulla Continuità Operativa.

Tuttavia, il Cyber risk, pur essendo percepito come rischio “critico” (74%) viene considerato come prevalentemente “tecnico”, soprattutto legato ai sistemi IT (45%).

Solo poco più di metà delle aziende si è attrezzata con dei piani di risk mitigation

Alla diffusione della conoscenza dei rischi cyber non corrisponde l’impegno a investire su piani formali di risk mitigation, presente infatti solo nel 55% dei casi e la “awareness” per gli standard è solo del 47%. Inoltre, molte realtà preferiscono appaltare la risoluzione di questi problemi all’esterno con soluzioni di outsourcing (64%).

Per contrastare rischio cyber formazione e budget ancora carenti

L’aumento della consapevolezza e gli attacchi subiti non hanno generato tuttavia un impegno concreto in termini di formazione e investimento in competenze e risorse: solo il 49% degli intervistati adotta processi strutturati di formazione HR e nel 70% dei casi l’investimento in questi processi è minimo: meno del 15% del budget.

Piani di risk mitigation e formazione si rilevano attività ancora più cruciali se consideriamo che il principale fattore di vulnerabilità è proprio l’errore umano, sfruttato infatti nel 68% dei casi da parte di chi commette gli attacchi cyber.

Tra gli altri fattori, nella metà dei casi viene segnalata l’obsolescenza dei sistemi operativi.

Leggi anche:  Kaspersky lancia un nuovo corso di formazione online per professionisti sulla cybersecurity

Nonostante i diversi fattori di vulnerabilità che presentano le aziende, dalla ricerca si evince che, in termini di budget dedicato al rischio informatico:

  • Il 69% delle aziende investe meno del 30% in programmi assicurativi;
  • Il 67% investe meno del 30% in servizi di monitoraggio.

Al contempo, risultano elevati investimenti in backup, anche se non molto utili in assenza di un disaster recovery plan.

Ancora bassa la propensione al cambiamento e la conoscenza degli strumenti assicurativi

Guardando al futuro, la cultura del rischio in azienda risulta ancora poco radicata: nonostante i numerosi attacchi e i diversi fattori di vulnerabilità, il 53% delle aziende ritiene al momento adeguati i sistemi di trattamento adottati.

Anche per quanto riguarda gli strumenti assicurativi i dati dimostrano che il 58% li conosce e la metà (49-51%) li adotta. Il 32% delle aziende esprime invece ancora delle riserve sul loro utilizzo, mentre il 17-23% ne è sprovvisto.