La sicurezza informatica è un’emergenza nazionale.
Centinaia di attacchi al mese, sempre più frequenti, generano duri impatti economici, legali e reputazionali ad aziende di ogni settore e dimensione. Il lavoro da remoto ha triplicato l’esposizione al rischio rendendo sempre più complessa la gestione della Cyber Security durante questa fase di trasformazione digitale che sta interessando tutto il paese.
Come accade in ogni fase di trasformazione e cambiamento, le aziende si trovano a dover prendere decisioni complesse in tempi ristretti, sotto una costante pressione generata dalle aspettative di budget. Ogni organizzazione si trova quindi a dover bilanciare rischi ed opportunità, chiedendosi costantemente in che modo indirizzare gli investimenti in cyber security con l’obiettivo di ridurre il rischio informatico per dipendenti, clienti e partner, supportando al contempo l’evoluzione dei modelli di business in ottica di digitalizzazione.
Per supportare le aziende durante questa delicata fase decisionale, Aon ha realizzato il Cyber Quotient Evaluation (CyQu): uno strumento di cyber risk assessment online in grado di valutare il livello di maturità della gestione del rischio cyber per le aziende attraverso l’analisi di nove Domini di Sicurezza, suddivisi in 35 Aree critiche di Controllo.
Dall’analisi dei dati CyQu derivanti da 996 organizzazioni, dislocate in tutto il mondo e rappresentanti 20 diversi settori di business, Aon ha identificato 4 aree tematiche chiave del rischio cyber, associandole ai Domini di Sicurezza da presidiare, illustrate nel 2021 Cyber Security Risk Report.
I dati CyQu mostrano come tutte le organizzazioni considerate – a prescindere dal fatturato, dal settore industriale e dall’area geografica – non sono adeguatamente preparate a gestire il rischio cyber. Infatti, dallo studio emerge che, nella maggior parte dei casi, i processi di gestione del rischio cyber non sono definiti e che tale rischio viene prevalentemente affrontato solo in modo reattivo a seguito dell’avvenimento di un incidente. Infine, solo due organizzazioni su cinque riferiscono di essere preparate ad affrontare i nuovi rischi informatici derivanti dalla digital transformation.
Di seguito è riportata una panoramica dei risultati ottenuti sulle quattro aree tematiche identificate come chiave per il rischio Cyber nel 2021:
- Affrontare nuovi rischi: Digital Transformation
Nel 2020, l’emergenza Covid-19 ha accelerato il processo di Digital Transformation già in corso da diversi anni, rendendo abitudinari processi e innovazioni tecnologiche quali ad esempio lo Smart Working. Nonostante questo, solo il 31% delle organizzazioni riferisce di avere adeguate strategie per gestire il rischio derivante dal lavoro da remoto e solo il 14% riferisce di avere adeguate misure di Sicurezza delle Applicazioni, non garantendo protezione dalle nuove minacce informatiche. L’evoluzione digitale ha infatti portato alle aziende nuove opportunità di business e nuove metodologie di lavoro, esponendole però anche a nuovi rischi che impongono investimenti specifici in sicurezza.
Domini di CyQu da presidiare: Sicurezza della Rete, Sicurezza delle Applicazioni e Lavoro da Remoto
- Conoscere i propri partner: Rischio da Terze Parti
Il rischio derivante dalla supply chain non è più trascurabile, come è stato evidenziato da molteplici incidenti avvenuti nel 2020 in cui alcuni fornitori hanno introdotto malware nei sistemi informatici dei propri clienti.
I dati CyQu evidenziano che le organizzazioni non sono ancora pronte a valutare e gestire i rischi provenienti da terze parti. Infatti, solo il 15% delle organizzazioni analizzate riferisce di supervisionare fornitori e outsourcer critici (Terze Parti). Tuttavia, i risultati mostrano che la sicurezza fisica è garantita da un presidio adeguato.
Domini di CyQu da presidiare: Sicurezza Fisica e Terze Parti
- Incrementare la protezione: Ransomware
La quantità e la varietà degli attacchi ransomware sono esplosi nel 2020. Sette attacchi su dieci comportano la minaccia di furto dei dati esfiltrati e, in alcuni casi, la loro vendita sul dark web. Gli assicuratori sono sempre più sensibili al tema e il 62% di essi vede il controllo degli accessi come argomento critico. I dati CyQu, inoltre, hanno rivelato che molte organizzazioni hanno un basso grado di maturità nella gestione del rischio cyber e non riescono a indirizzare gli investimenti verso controlli di sicurezza necessari alla messa in protezione dei propri sistemi informatici. Solo il 23% delle organizzazioni riferisce, infatti, di avere adeguate strategie di resilienza aziendale, aspetto particolarmente rilevante dato che un’efficace piano di backup potrebbe essere già un adeguato deterrente per un attacco ransomware.
Domini di CyQu da presidiare: Controllo degli Accessi, Sicurezza degli Endpoint & dei Sistemi e Resilienza Aziendale
- Migliorare i requisiti minimi: Compliance
I rapidi cambiamenti imposti dall’emergenza COVID-19 hanno ampliato le lacune di compliance preesistenti generandone, inoltre, di nuove. Con l’inizio del 2021 è in corso un ulteriore cambiamento normativo che prevede leggi più restrittive e maggiormente consolidate sulla protezione dei dati, come il GDPR. Le organizzazioni, però, spesso si limitano a rispondere alle sole esigenze di compliance, soddisfacendo unicamente i requisiti minimi di sicurezza. I dati CyQu evidenziano che le organizzazioni dovrebbero investire di più sulla Cyber Security, dato che meno di due aziende su cinque (30%), non dispone di una security posture adeguata a garantire la messa in sicurezza dei propri dati e sistemi critici.
Dominio di CyQu da presidiare: Sicurezza dei Dati
Oltre ai Domini di Sicurezza da presidiare associati alle quattro tematiche chiave del rischio cyber sopracitate, il Report evidenzia una serie di domande rilevanti al fine di aiutare le aziende a proteggersi dalle minacce informatiche.
Cosa fare adesso?
La trasformazione digitale che negli ultimi anni sta interessando tutto il paese ha notevolmente aumentato la vulnerabilità delle aziende agli attacchi cyber. I rischi legati a Intelligenza artificiale (AI), pagamenti digitali e supply chain tecnologico sono solo alcune tra le minacce a cui le aziende sono costantemente esposte.
In un simile scenario i temi della formazione e della prevenzione in ambito cyber security diventano di fondamentale importanza per ridurre al minimo la vulnerabilità della propria azienda.
A tal fine, vi invitiamo a leggere il 2021 Cyber Security Risk Report per valutare il livello di maturità della gestione del rischio cyber della vostra azienda e per poter prendere decisioni più efficaci bilanciando rischi e opportunità.
Compila il form di seguito per ottenere l’Executive Summary in lingua italiana.
Per ulteriori informazioni visita la nostra landing page Cyber dedicata.
Comments