La cybersicurezza deve essere proattiva, non reattiva. Il mantra ripetuto dagli esperti di sicurezza informatica è noto ma non ancora assimilato nelle prassi della maggior parte delle imprese, secondo un nuovo studio (“The value of putting security outcomes first“) condotto da Forrester Consulting per conto di WithSecure (il fornitore di servizi It precedentemente nota come F-Secure Business). Il problema dell’approccio reattivo, evidenzia Forrester, è che non solo rende le organizzazioni meno efficaci nel proteggersi, ma anche meno efficienti nell’investire in sicurezza informatica e nell’allineare l’investimento ai risultati aziendali.
Infatti l’83% degli intervistati si è detto intenzionato ad implementare o già in fase di ampliamento dellei soluzioni e dei servizi di sicurezza basati sui risultati, ma il 60% attualmente adotta un approccio reattivo, in quanto reagisce ai singoli problemi di sicurezza informatica non appena si presentano. La percentuale è ancora più alta nelle aziende manifatturiere (71%), mentre i servizi finanziari, settore altamente regolamentato, si attestano poco sopra il 50%.
Cybersicurezza reattiva, perché è un problema
Indipendentemente dal settore, gli intervistati ammettono che l’approccio reattivo è problematico per le loro organizzazioni. Il 90% ha dichiarato di avere difficoltà a reagire ai problemi di sicurezza informatica quando si presentano. Questo accade nonostante i budget per la sicurezza informatica stiano crescendo: il 71% degli intervistati, infatti, concorda sul fatto che ogni anno spendono di più per la sicurezza informatica.
La visibilità sui rischi informatici, il reperimento delle competenze e delle risorse necessarie e la capacità di rispondere in modo rapido ed efficace sono state le sfide più comuni evidenziate dagli intervistati.
“Oggi la maggior parte degli investimenti in sicurezza informatica è finalizzata alla riduzione dei rischi informatici. Tuttavia, il problema sorge quando i rischi che vengono mitigati non sono quelli più importanti per i risultati che l’azienda vuole ottenere. Questo può portare a una totale disconnessione degli investimenti in sicurezza informatica dall’azienda o a un mancato finanziamento della cyber security”, ha spiegato Christine Bejerasco, Chief security officer di WithSecure.
La sicurezza informatica basata sui risultati
Per questo studio Forrester ha condotto un sondaggio online di 409 decisori It e della cybersecurity in organizzazioni di Usa, Giappone, Uk, Francia, Germania, Finlandia, Danimarca e Svezia per valutare gli approcci alla cybersicurezza. Lo studio si è svolto tra novembre 2022 e dicembre 2022.
La sicurezza informatica basata sui risultati, rilevano gli analisti, è un approccio che consente ai manager di semplificare la cybersecurity coltivando solo le capacità che garantiscono in modo misurabile i risultati desiderati, rispetto ai metodi tradizionali basati sulle minacce, sulle attività o sul Roi.
I risultati più comuni che gli intervistati desiderano siano supportati dalla sicurezza includono: la gestione del rischio, con il 44% degli intervistati che vuole ridurre il rischio per raggiungere i propri obiettivi di sicurezza informatica; l’esperienza del cliente, con il 40% degli intervistati che vuole che la sicurezza migliori l’esperienza del cliente; e la crescita dei ricavi, evidenziata dal 34% degli intervistati.
Sebbene molti intervistati avessero chiari i risultati che avrebbero voluto ottenere grazie alla sicurezza, solo un’organizzazione su cinque ha dichiarato di avere un allineamento completo tra le priorità della sicurezza informatica e i risultati aziendali.
Gli ostacoli da superare
Numerosi ostacoli complicano gli sforzi per allineare la sicurezza informatica ai risultati aziendali, tra cui, ma non solo, la gestione di un ambiente It complesso, la gestione di obiettivi aziendali e di sicurezza informatica contrastanti e il mantenimento dei risultati desiderati delle tecnologie di rilevamento.
Anche la valutazione della capacità delle priorità di sicurezza di supportare i risultati aziendali è risultata problematica. In particolare, il 42% delle imprese non ha una comprensione sufficiente della maturità dello stato attuale e di quello in target, rispetto al quale valutare il valore della sicurezza. Il 37% ha espresso difficoltà nel misurare il valore della sicurezza informatica e il 36% ha incontrato difficoltà nell’acquisizione di dati coerenti e significativi. Il 28% ha riscontrato difficoltà nel superare il paradosso della sicurezza nella comunicazione del valore (gli investimenti in una sicurezza efficace si traducono in minori opportunità di dimostrare il valore) e il 23% ha incontrato difficoltà nel tradurre le metriche di sicurezza informatica in qualcosa di significativo per il consiglio di amministrazione.