In un mondo post COVID, i requisiti di cybersecurity sono cambiati: le organizzazioni sono passate da un modello operativo in gran parte statico, in cui le persone operavano quasi esclusivamente da singoli dispositivi da un’unica postazione, a un mondo ibrido in cui si opera da più dispositivi in più sedi, collegandosi a più reti.
Sebbene ci sia un ampio consenso sul fatto che il passaggio all’ibrido sia destinato a rimanere, il suo successo a lungo termine dipende in larga misura dalla capacità delle organizzazioni di salvaguardarsi dalle nuove minacce in rapida evoluzione.
A fronte di ciò, abbiamo voluto capire quanto le aziende di tutto il mondo siano pronte ad affrontare queste sfide. A tal fine, abbiamo sviluppato il Cisco Cybersecurity Readiness Index. L’indagine è stata condotta su un campione di 6.700 professionisti provenienti da 27 paesi, fra cui l’Italia, che operano nell’ambito della cybersecurity.
Al termine dell’indagine le aziende sono state classificate secondo 4 gradi di maturazione: da Iniziale, a Formativo, a Progressivo infine Maturo, sulla base della loro preparazione e adozione sui 5 pilastri fondamentali della protezione della cybersecurity: identità, dispositivi, rete, carichi di lavoro delle applicazioni e dati.
Il divario globale di preparazione alla cybersicurezza
I risultati sono evidenti: secondo l’indice, solo il 15% delle organizzazioni a livello globale è ritenuto in possesso di un livello maturo di preparazione per gestire i rischi di sicurezza del lavoro ibrido. In Italia, il livello di preparazione è ancora più basso, con solo il 7% delle organizzazioni che rientrano nella fase di preparazione matura.
La maggior parte delle aziende è consapevole che la minaccia è reale, il 75% dei responsabili della sicurezza che abbiamo intervistato in Italia ritiene che gli incidenti di cybersecurity potrebbero interrompere il loro business nei prossimi 12-24 mesi. Questo dato si confronta a un dato globale dell’82% che la pensa allo stesso modo.
Per quanto riguarda le conseguenze di una mancata preparazione, il 31% degli intervistati in Italia ha affermato di aver subito un qualche tipo di incidente di cybersecurity negli ultimi 12 mesi, rispetto al 57% a livello globale. Gli incidenti sono costati al 25% delle organizzazioni italiane colpite almeno 500.000 dollari o più, rispetto al 41% a livello globale che ha avuto costi simili.
Come colmare il divario di preparazione in materia di sicurezza informatica
La buona notizia è che i responsabili della sicurezza sono consapevoli dei rischi e sono desiderosi di investire nella loro preparazione in materia di cybersecurity: l’87% delle organizzazioni italiane ha in programma di aumentare il proprio budget per la cybersecurity di almeno il 10% nei prossimi 12 mesi, rispetto all’86% a livello globale. È fondamentale che questi aumenti di budget avvengano al più presto.
Considerando l’ambiente in cui operano le aziende e l’attuale divario di preparazione, un’attesa di 12 mesi potrebbe rivelarsi troppo lunga. Ciò di cui le organizzazioni hanno bisogno è la resilienza della sicurezza, considerare cioè la sicurezza come fondamentale per la strategia aziendale e priorità collettiva in tutta l’organizzazione. La resilienza consiste nella verifica delle minacce, nella comprensione delle connessioni all’interno dell’organizzazione e nel vedere il contesto completo di ogni situazione, in modo che i team possano stabilire le priorità e assicurarsi di prendere la miglior decisione possibile.
Per costruire organizzazioni sicure e resilienti, è indispensabile capire quanto le aziende siano “pronte” in relazione ai cinque principali pilastri della sicurezza sopra menzionati. Ci auguriamo che questo report agisca come un campanello d’allarme per i decisori aziendali.
- Identità
Un quarto (24%) di tutti gli intervistati ha classificato la gestione dell’identità come il rischio numero uno per i cyberattacchi.
Per questo motivo, non sorprende che il 95% dei nostri intervistati abbia implementato una qualche soluzione di gestione delle identità.
In Italia, il 13% delle organizzazioni si trova nella fase matura, il 16% è in fase progressiva, il 48% in fase formativa e il 23% in fase iniziale.
- 2. Dispositivi
Il numero di dispositivi che si collegano a una rete aziendale è cresciuto in modo esponenziale negli ultimi anni. Dai computer portatili, telefoni e tablet, ai dispositivi come le telecamere di sicurezza alle stampanti intelligenti, l’elenco è quasi infinito. Indipendentemente dal dispositivo, se è collegato alla rete, deve essere protetto.
Il livello di preparazione ad affrontare i rischi di cybersecurity varia su questo fronte. C’è una buona notizia: il 31% delle aziende a livello globale si trova nella categoria Matura.
In Italia, il 20% delle organizzazioni si trova nella fase matura, l’11% in fase progressiva, il 30% in fase formativa e il 39% in fase iniziale.
- 3. La rete
Un ambiente di lavoro ibrido richiede flessibilità non solo nel numero e tipologie di dispositivi utilizzati dai dipendenti, ma anche nel dove si collegano e dove vengono archiviati ed elaborati i dati a cui devono accedere.
Questo rende il ruolo della rete centrale e la necessità di salvaguardarla e di proteggerla ancora più critica. Sebbene i nostri intervistati lo riconoscano, le loro organizzazioni sono in ritardo nei preparativi per affrontare i rischi di cybersecurity su questo versante.
In Italia, il 7% delle organizzazioni si trova nella fase Matura, il 21% è in fase progressiva, il 61% è in fase formativa e l’11% è in fase principiante.
- 4. Carichi di lavoro delle applicazioni
L’adozione diffusa delle applicazioni nelle aziende, e la loro importanza per l’esperienza dei clienti, ha aggiunto un ulteriore livello di complessità per i team di cybersicurezza, in quanto i cyber criminali guardano alle applicazioni come un altro modo per cercare di infiltrarsi nell’infrastruttura IT di un’azienda.
La nostra indagine mostra che il 65% delle aziende a livello globale si trova nella fase formativa o principiante e solo il 12% circa è in fase matura.
In Italia, il 5% delle organizzazioni si trova nella fase Matura, il 15% è in fase progressiva, il 57% è in fase formativa e il 23% in fase iniziale.
- 5. Dati
Spesso etichettati come la “nuova moneta”, è fondamentale per le aziende salvaguardare i dati. Oltre a essere la “cosa giusta da fare”, nella maggior parte dei paesi esistono anche requisiti normativi. Un fallimento su questo fronte può avere serie implicazioni per le aziende, e i nostri intervistati lo riconoscono.
La natura critica della protezione dei dati spiega perché le categorie “Mature” e “Progressive” rappresentano la metà (50%) degli intervistati nel nostro sondaggio, una percentuale significativamente più alta di quella riscontrata per la preparazione alla protezione dei dispositivi, ad esempio.
In Italia, il 14% delle organizzazioni si trova nella fase matura di preparazione, mentre il 36% si trova nella fase Progressiva, il 25% in quella Formativa e il 25% in quella Principiante.
Conclusioni
Nelle aree critiche, sono stati compiuti passi significativi per la sicurezza delle organizzazioni contro le minacce alla cybersecurity.
Tuttavia, le organizzazioni di tutto il mondo – e forse anche i governi – devono riconoscere che la strada da percorrere è ancora lunga.
L’implementazione di alcune soluzioni, in particolare quelle per l’identità, i dispositivi e le reti, non sono state implementate con la rapidità che potrebbero, lasciando alcune organizzazioni vulnerabili agli attacchi.
Colmare il gap di preparazione deve diventare un imperativo globale e una priorità assoluta per i leader aziendali. Le organizzazioni hanno bisogno di resilienza in materia di sicurezza, concentrandosi su ciò che conta di più e anticipando ciò che sta per accadere.
Per costruire organizzazioni sicure e resilienti, i leader aziendali devono stabilire una base di riferimento per valutare quanto sono “pronti” nei cinque principali pilastri delle soluzioni di sicurezza.
Cosi come ha dichiarato il nostro CEO Chuck Robbins: “ Dipendiamo tutti da un mondo sicuro e se condividiamo l’intelligence sulle minacce, cooperiamo a livello legislativo per mantenere tutti al sicuro e ci stringiamo attorno all’idea che la sicurezza e la privacy sono diritti umani, possiamo realizzare un futuro veramente sicuro e inclusivo per tutti”.
__________________________
Risorse aggiuntive
Cybersecurity Readiness Index 2023
Cisco Cybersecurity Readiness Index – Snapshot dati italiani
Comunicato stampa