Si ritiene che siano maturi i tempi per la definizione di uno standard globale di misurazione del rischio di sicurezza informatica, per costruire una resilienza informatica sicura e in questo modo affrontare il deficit di fiducia nelle infrastrutture critiche. Le valutazioni e le soluzioni di SecurityScorecard
Secondo dati di uno studio di questa società, leader nel settore delle valutazioni della sicurezza informatica, il 48% delle organizzazioni produttive critiche si sono classificate “C”, “D” ” o “F” sulla piattaforma di classificazione della sicurezza sviluppata da questa stessa società . Pubblicato durante il meeting annuale del World Economic Forum (WEF), il rapporto (Addressing the Trust Deficit In Critical Infrastructure) ha analizzato lo stato attuale della resilienza informatica nei settori delle infrastrutture critiche come energia, chimica, sanità e altri, come definito dalla Cybersecurity and Infrastructure Security Agency (CISA). Le organizzazioni con un rating di sicurezza “A” hanno 7,7 volte meno probabilità di subire una violazione rispetto a quelle con un rating “F”.
Un barometro affidabile
“I rating di sicurezza sono un barometro affidabile della resilienza informatica ed è giunto il momento che si renda obbligatoria la misurazione del rischio informatico”, ha affermato Dr. Aleksandr Yampolskiy, cofondatore e CEO di SecurityScorecard. “Gli attacchi informatici negli ultimi 10 anni sono diventati sempre più numerosi, più complessi e hanno sempre più preso di mira le infrastrutture critiche, minando così la fiducia del pubblico nella resilienza informatica della nostra economia globale”.
Secondo il WEF, solo il 19% delle società private e degli enti pubblici che hanno fatto grandi investimenti nella cybersicurezza si sente sicuro che la propria organizzazione sia cyber-resiliente.
Gli incidenti informatici che colpiscono le infrastrutture critiche, un tempo relativamente rari, sono diventati molto più frequenti negli ultimi anni poiché gli stati-nazione e i loro delegati intensificano il perseguimento di obiettivi geopolitici. I dati del Federal Bureau of Investigation hanno mostrato che 14 dei 16 settori considerati infrastrutture critiche dal governo degli Stati Uniti avevano subito almeno un attacco ransomware già nel 2021.
SecurityScorecard ha valutato questi settori per misurare il loro attuale stato di resilienza informatica. Dall’analisi di tutte le organizzazioni appartenenti a tale categoria nell’elenco Forbes Global 2000 è emerso che il settore manifatturiero è altamente vulnerabile. SecurityScorecard considera 10 fattori quando sviluppa la valutazione della sicurezza di un’organizzazione.
Le classificazioni SecurityScorecard offrono classificazioni A-F di facile lettura su, come detto, dieci fattori di rischio: sicurezza della rete, integrità DNS, cadenza delle patch, punteggio subito, sicurezza degli endpoint, reputazione IP, sicurezza delle applicazioni web, chat degli hacker, credenziali trafugate e ingegneria sociale). Ciascun fattore ha un peso numerico, che riflette la gravità o il rischio con cui il fattore contribuisce alla condizione generale di sicurezza informatica di un’organizzazione.
Può convenire anche economicamente
“Sebbene investire in più tecnologie possa sembrare oneroso per gli operatori di infrastrutture critiche con risorse limitate, sostiene Yampolskiy, la realtà è che la tecnologia di valutazione della sicurezza informatica è estremamente conveniente, soprattutto se si considera che il costo catastrofico di una violazione è in media di 9,44 milioni di dollari per le organizzazioni statunitensi”. Sfruttando le valutazioni di sicurezza, queste organizzazioni hanno un modo semplice per costruire resilienza e prendere decisioni più informate per rafforzare le loro difese informatiche misurando con sicurezza il rischio e quantificando l’affidabilità dei loro partner, appaltatori, fornitori di terze e quarte parti e catene di fornitura.
Ancora, rileva sempre una ricerca di questa società, il 78% di 240 tra i maggiori istituti finanziari dell’Unione Europea ha subito una violazione dei dati da parte di terzi nell’ultimo anno. Sulla scia di attacchi come MOVEit e SolarWinds, le normative sulla sicurezza informatica evidenziano la necessità di approcci completi per gestire il rischio dei fornitori e garantire la conformità. Solo il 3% dei fornitori di terze parti analizzati è stato violato, fatto che mette in luce il drammatico impatto di un singolo attacco alla supply chain nel panorama delle minacce. Gli attacchi alla catena di fornitura attirano i criminali informatici perché quando un software ampiamente utilizzato viene compromesso, gli aggressori ottengono l’accesso potenzialmente a tutte le organizzazioni che utilizzano quel software.
Chi è SecurityScorecard
Fondata nel 2013 dagli esperti di sicurezza e rischio Dr. Aleksandr Yampolskiy e Sam Kassoumeh, la tecnologia di rating brevettata di SecurityScorecard è già utilizzata da oltre 25.000 organizzazioni per la gestione del rischio aziendale, la gestione del rischio di terze parti, il reporting del consiglio di amministrazione, la due diligence, la sottoscrizione di assicurazioni informatiche e la supervisione normativa . Tra i suoi clienti figura la metà delle aziende Fortune 100 e nove delle dieci principali banche statunitensi. Con oltre 600 dipendenti sta creando da zero un nuovo settore di attività a cui ricorre anche un numero crescente di compagnie di assicurazione per migliorare la propria dotazione di sicurezza informatica.
Italia si accoda al trend
La società è presente in Italia dal 2022. “In questo periodo, precisa Stefano Volpi Field, Sales Director Italy and Balkans, l’attività è stata focalizzata sulla evangelizzazione del mercato relativamente alla importanza delle metriche di computo delle misure di sicurezza poste in essere dalle organizzazioni, private e pubbliche e della loro intera supply hain. Per tale motivo, le soluzioni di Cybersecurity ratings proposte da aziende come Security Scorecard sono al vaglio non solo degli specialisti Ict ma anche degli organi direttivi, per le implicazioni di natura gestionale che possono avere relativamente a molteplici casi d’uso, ormai obbligatori all’interno delle aziende quali Compliance, Cyber Insurance, Digital Forensics, Due Diligence, Cyber Insurance, Merge & Acquisition”.
