Cybersecurity, per le aziende non è ancora una priorità
L’attuale periodo di emergenza sanitaria sta cambiando il nostro modo di lavorare. Per rendere efficienti le attività da remoto, le aziende sono chiamate a rendere disponibili le necessarie tecnologie digitali (piattaforme per video conferenze, collaborazione online, ecc.). Allo stesso tempo, devono garantire i medesimi livelli di sicurezza quando computer e smartphone non sono più all’interno del perimetro aziendale, tramite una corretta messa in sicurezza dei dispositivi e delle applicazioni utilizzate da remoto.
Ma le priorità di investimento delle organizzazioni non includono tecnologie e modelli avanzati di protezione, nonostante la maggioranza delle società italiane abbia subito uno o più cyber attacchi significativi nel corso dell’ultimo anno. È quanto emerge dalla EY Global Information Security Survey (GISS), indagine realizzata annualmente da EY che nel 2020 ha coinvolto 1.300 manager di sicurezza informatica di aziende internazionali.
Il tema della cyberescurity è anche al centro del convegno virtuale Difendersi dagli sciacalli digitali. Tecnologie, modelli organizzativi e formazione per lavorare in sicurezza in programma il 20 aprile dalle 14.30 alle 17.30. Esperti indipendenti, manager di aziende di medio grande dimensione ed esponenti delle aziende sponsor si confrontano sulla questione della sicurezza del patrimonio informativo aziendale in un momento storico in cui il perimetro delle organizzazioni si è ridisegnato a causa del distanziamento sociale imposto dell’emergenza sanitaria.
Manca un approccio efficace legato allo Smart working
La survey di EY rileva la mancanza di un approccio efficace nella gestione delle tematiche relative alla security anche a supporto delle nuove modalità di Smart working: seppure il 19% degli intervistati si concentri sulle misure di connessione sicura (per esempio tramite l’utilizzo di reti virtuali private) solo una media del 10% degli intervistati dichiara di focalizzarsi sulle principali azioni di prevenzione dalle minacce informatiche, come l’adozione dei più recenti aggiornamenti di sicurezza (patching) e la gestione dei dispositivi utilizzati dagli utenti in mobilità.
A conferma di tale tendenza, il sondaggio evidenzia inoltre un utilizzo limitato (soltanto l’1% per le aziende in Italia) di strumenti a supporto della sicurezza delle applicazioni, che in un contesto remoto diventano uno dei target principali da parte di un potenziale attaccante. Solo il 4% delle aziende in Italia dichiara di concentrarsi sulle attività di formazione e sensibilizzazione dei dipendenti sui temi di security.
Dato preoccupante soprattutto per le aziende per le quali il lavoro da remoto ha sempre rappresentato un’eccezione, che vivono quindi l’attuale trasformazione senza un’adeguata consapevolezza da parte dei dipendenti dei possibili rischi informatici in cui possono incorrere lavorando da casa.
La survey rileva inoltre che più del 50% degli attacchi significativi subiti nel corso dell’ultimo anno per circa un’azienda italiana su tre è da imputare alla scarsa consapevolezza dei dipendenti, in un contesto dove si registra un preoccupante incremento degli attacchi di phishing che utilizzano come oggetto l’emergenza sanitaria attuale, allo scopo di veicolare file dannosi in grado di interferire e, nei casi più gravi, bloccare il funzionamento dei dispositivi e la disponibilità dei dati aziendali per poi chiedere il pagamento di un riscatto (ransomware).
Investimenti in sicurezza ancora scarsi
Fabio Cappelli, EY Cyber Security Leader per la regione Mediterranea (Italia, Spagna e Portogallo), evidenzia come “in una situazione di emergenza come quella attuale, i rischi cyber cui sono esposte le aziende sono amplificati, basti pensare come un attacco finalizzato al blocco dei servizi digitali possa paralizzare le aziende che in questo momento operano prevalentemente in Smart working o come l’utilizzo di strumenti non soggetti alla gestione aziendale amplifichi i rischi di data leakage. Per questo motivo, dopo aver assicurato la continuità tecnologica, è necessario aumentare il livello di attenzione e vigilanza sui rischi cyber”.
Tali minacce possono avere purtroppo anche un impatto su informazioni e strutture vitali per la nostra esistenza. Si sono infatti registrati, anche nelle ultime ore, attacchi a sistemi informatici di ospedali e cliniche universitarie che hanno richiesto il rinvio di interventi e il trasferimento dei pazienti verso strutture differenti: sarebbe quindi devastante l’impatto di un attacco informatico su un sistema già caratterizzato da una estrema carenza di risorse nella gestione dell’attuale emergenza sanitaria.
Quanto stiamo vivendo rende inoltre evidente come sia necessario che le aziende investano su un modello efficace di continuità del business, che preveda piani di gestione della crisi e modalità alternative sia di erogazione dei servizi informatici (disaster recovery) sia di approvvigionamento dalle terze parti. Anche su questo fronte, la survey rileva una situazione con ampi spazi di miglioramento: solo il 18% del budget di sicurezza è dedicato alle tematiche di gestione del rischio e di resilienza del business.
“Anche per settori più regolamentati dal punto di vista della continuità operativa e della resilienza al business, come quello bancario e assicurativo, il livello degli investimenti si attesta sulle medesime percentuali: 18% per il settore bancario e il 21% settore assicurativo”, commenta Fabio Colombo, EY Cyber Security leader per il settore Finance in EMEIA.
cybersecurity, EY Global Information Security Survey (GISS), Difendersi dagli sciacalli virtuali convegno, EY, Smart working sicurezza
SCENARI MACROECONOMICI
PRODUZIONE
TECNOLOGIA PER LA PRODUZIONE
FORMAZIONE
TECNOLOGIE PER L'HR
BENESSERE AZIENDALE
WELFARE AZIENDALE
SPAZIO DI LAVORO
GESTIONE DELLE DIVERSITÀ
SOSTENIBILITÀ
