La sicurezza basata sui risultati migliora la resilienza, la competitività e la produttività delle aziende. Ma molte non hanno capacità e conoscenze per poterla applicare.
Approcciare alla cybersecurity in modo reattivo frena i progressi nella dimostrazione del valore e nell'allineamento ai risultati aziendali. È un monito importante che arriva dallo studio The Value Of Putting Security Outcomes First: Rethink Cybersecurity To Amplify Resilience, Productivity, And Competitiveness condotto da Forrester Consulting per conto di WithSecure e che fa riflettere non solo per il contenuto, ma anche per il fatto che le realtà che reagiscono ai singoli problemi di sicurezza informatica non appena si presentano sono la maggioranza: il 60 percento.
Il 90% del campione ammette di avere difficoltà a reagire ai problemi di sicurezza informatica quando si presentano, nonostante i budget per la sicurezza informatica stiano crescendo: il 71% degli intervistati, infatti, concorda sul fatto che ogni anno spendono di più per la sicurezza informatica. I problemi riguardano inoltre la visibilità sui rischi informatici, il reperimento delle competenze e delle risorse necessarie.
Fortunatamente molte realtà si sono rese conto che così facendo le cose non funzionano e stanno valutando un cambio di approccio. L'83% degli intervistati si dichiara interessato o intenzionato ad implementare soluzioni e servizi di sicurezza basati sui risultati. In parole povere questo significa semplificare la cyber security coltivando solo le capacità che garantiscono in modo misurabile i risultati desiderati, rispetto ai metodi tradizionali basati sulle minacce, sulle attività o sul ROI.
Gli intervistati auspicano un maggiore supporto da parte della sicurezza sul fronte della gestione del rischio, dell'esperienza del cliente e della crescita dei ricavi. La contraddizione è che solo un'organizzazione su cinque ha dichiarato di avere un allineamento completo tra le priorità della sicurezza informatica e i risultati aziendali.
Il motivo delle tante discrepanze che emergono dalle risposte al sondaggio è da ricercare nella carenza culturale. Il 42% del campione non ha una comprensione sufficiente della maturità dello stato attuale di security e di quello che si intende raggiungere. Il 37% ha espresso difficoltà nel misurare il valore della sicurezza informatica. Il 36% ha incontrato difficoltà nell'acquisizione di dati coerenti e significativi, mentre il 28% ha riscontrato difficoltà nel superare il paradosso della sicurezza nella comunicazione del valore (gli investimenti in una sicurezza efficace si traducono in minori opportunità di dimostrare il valore). Ultimo ma non meno importante, il 23% ha incontrato difficoltà nel tradurre le metriche di sicurezza informatica in qualcosa di significativo per il consiglio di amministrazione.