▾ G11 Media: | ChannelCity | ImpresaCity | SecurityOpenLab | Italian Channel Awards | Italian Project Awards | Italian Security Awards | ...

Cyber security nelle imprese: bene la teoria, meno la pratica

Una ricerca NTT indica che aumenta la consapevolezza sulla cyber security, ma non la capacità di difendersi. Una questione di cultura.

Business Tecnologie/Scenari
Il Global Threat Intelligence Report 2019 di NTT Security ha cercato di esaminare il livello di preparazione che le aziende hanno raggiunto in campo cyber security. La premessa è che per molto tempo le imprese hanno affrontato la sicurezza con un approccio mirato. Data una minaccia, cioè, si andava alla ricerca del prodotto che poteva contenerla.

Questo modello è diventato via via insufficiente. L'evoluzione delle minacce in rete e dei metodi della criminalità informatica ha infatti dimostrato che non è più praticabile. Parallelamente, normative come il GDPR hanno spostato la cyber security verso un approccio più trasversale di gestione del rischio. Il punto non è più evitare di essere attaccati, perché questo è impossibile, ma mettere in atto misure che riducano al minimo i danni che un attacco può portare.

Il campione di aziende esaminato da NTT dà un segnale positivo importante. La sicurezza IT è diventata un argomento da Consiglio di Amministrazione e non più solo da tecnici. Si è capito che una falla nella sicurezza non è un problema IT ma anche di immagine ed economico per tutta l'azienda. Una maggiore consapevolezza spinta dalle normative, ma che sarebbe nata comunque.

cloud key 3
È una maggiore consapevolezza che però non vuol dire più preparazione. L'indice di "cyberpreparedness" definito da NTT è in generale basso: 1,45 su 5. Va meglio, ma non molto, per settori come Finance (1,71), Tecnologia (1,66), PA (1,52) e Manufacturing (1,45). Settori cioè in cui gli attacchi informatici sono all'ordine del giorno. L'esperienza diretta, anche spiacevole, quindi conta.

Una cyber security "ambiziosa"

Nell'indagine NTT le aziende si mostrano particolarmente "ambiziose" nella gestione della sicurezza. Ritengono cioè di diventare particolarmente preparate (almeno per un indice 3 su 5) in breve tempo (12-36 mesi). Magari non da sole. Le aziende più evolute coinvolgono partner affidabili nella definizione delle strategie e delle architetture di sicurezza. Altre sono meno pronte alla collaborazione, e non è un segnale positivo.

Anche perché, secondo NTT, le minacce più pericolose del 2018 non sono nuove. Ad esempio exploit delle vulnerabilità software e furto delle credenziali. La loro maggiore pericolosità deriva da quanto i cyber criminali hanno saputo adottare un modello "industriale" nei loro attacchi.

blur codes coding 577585
Inoltre, la superficie di attacco si frammenta per la proliferazione degli endpoint da un lato e dei servizi cloud dall'altro. "Sempre più gli endpoint - spiega Gianandrea Daverio, BU Manager Security di Dimension Data Italia - sono direttamente esposti su Internet senza una adeguata protezione. E c'è poca sensibilità dell'utente alla sicurezza, poca capacità di capire quali sono i comportamenti corretti da seguire".

Resta quindi difficile slegare la cyber security da considerazioni culturali. "Siamo lontani da un auspicato punto di arrivo - sottolinea Daverio - ma d'altra parte la sensibilità sul tema è molto superiore. Si è capito che la resilienza dell'impresa e dei suoi processi digitali è una responsabilità diffusa, del management e non solo dell'IT".

Ora l'evoluzione culturale deve andare ancora più avanti per far recepire concetti come la security by design. Che le normative stanno spingendo ma che non possono essere completamente imposti. "Avremo sempre dei problemi se, ad esempio, chi sviluppa un'applicazione non ha un'ottica di security by design o di zero trust. E lo stesso vale, ad un livello diverso, per chi costruisce l'architettura di un sistema informativo", spiega in questo senso Daverio.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.
Rimani sempre aggiornato, seguici su Google News! Seguici

Notizie correlate

Speciali Tutti gli speciali

Speciale

Previsioni per la cybersecurity del 2025

Speciale

Digitalizzazione e cybersecurity

Reportage

Cybertech Europe 2024

Speciale

Identity security

Speciale

Infosecurity Europe 2024

Calendario Tutto

Gen 21
Palo Alto Networks Partner Xchange Milano
Gen 23
Nutanix Cloud Day Roadshow - Bari
Giu 05
MSP Day 2025

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter