Tutti i software, per loro stessa natura, presentano delle vulnerabilità. Le
patch e gli aggiornamenti regolari possono minimizzare il
rischio che le falle vengano sfruttate. Purtroppo, molti sottovalutano questo aspetto, che viene visto come un inutile investimento di risorse, e quindi come un costo. Questo approccio è sbagliato perché abbiamo visto molteplici
esempi di attacchi andati a buon fine per colpa di mancati aggiornamenti.
Gli upgrade di sicurezza dovrebbero rientrare fra
gli investimenti di potenziamento e tutela del business, non fra i costi. Ma se ci si ostina a ragionare in termini di costi, facciamo i calcoli in quest'ottica. Anzi, i conti li ha fatti Kaspersky con il report "
How businesses can minimize the cost of a data breach".
Dati alla mano, quello che deriva è che una violazione dei dati in un'azienda enterprise europea che ha in uso tecnologie obsolete comporta
perdite economiche del 23% superiori rispetto alle aziende che aggiornano tempestivamente i sistemi. Se il danno sembra notevole, i calcoli sulle PMI fanno impallidire. Nella stessa situazione,
il danno lievita del 53% in caso siano presenti software non aggiornati.
Le percentuali sono abbastanza corpose da giustificare un investimento di tempo per l'installazione delle patch. Qualora le percentuali non bastassero, ci sono anche i conteggi in valuta. Partiamo dall'enterprise. Se la vittima di data breach è un’impresa che utilizza sistemi operativi non aggiornati, vecchi software e dispositivi mobile non supportati, la perdita economica si attesta a
753.500 euro, contro i 610.000 euro di un'azienda di pari dimensioni con prodotti aggiornati.
Le PMI con tecnologia obsoleta subiscono un danno economico di
86.000 euro, contro i 56.000 euro delle realtà che hanno diligentemente installato tutti gli aggiornamenti.
Viene quindi da chiedersi come mai quasi la metà delle aziende europee (il 44%) utilizzi almeno una tecnologia obsoleta nelle proprie infrastrutture. Fra le ragioni addotte, quella più comunemente segnalata è
l'incompatibilità degli aggiornamenti con i software aziendali (46%). Seguono motivazioni quali
il rifiuto dei dipendenti di lavorare con nuove versioni dei software (46%) e il fatto che i primi a non volersi aggiornare sono i dirigenti aziendali.
Probabilmente è venuto il momento di rivedere le proprie priorità, tenendo conto del fatto che con la pandemia i cyber attacchi si sono moltiplicati. Lasciare gli asset aziendali scoperti è un rischio gravissimo, che può sfociare nel blocco dell'operatività aziendale.
Se proprio non c'è modo di aggiornare i prodotti, a questo punto l'unico modo per mettere l'infrastruttura in sicurezza è gestire quelli che di fatto sono vettori di attacco
separando in modo intelligente i nodi vulnerabili dal resto della rete. Oltre ad aumentare la consapevolezza riguardo alla sicurezza e alle competenze pratiche in materia di sicurezza informatica per i manager IT. Un corso di formazione online sulla cybersecurity potrebbe essere d'aiuto.