La crisi sanitaria del Covid-19 può avere strascichi anche sulla sicurezza informatica. Manca infatti un approccio efficace nella gestione della security a supporto dello smart working.
Le falle di sicurezza nello smartworking
A rivelarlo è EY, all’interno dell’indagine EY Global Information Security Survey (GISS), che ha coinvolto quest’anno 1.300 manager di sicurezza informatica all’interno di aziende internazionali. Nonostante il 19% degli intervistati si concentri sulle misure di connessione sicura, ad esempio l’utilizzo di reti virtuali private, solo una media del 10% degli intervistati dichiara di focalizzarsi sulle principali azioni di prevenzione dalle minacce informatiche, come l’adozione dei più recenti aggiornamenti di sicurezza (patching) e la gestione dei dispositivi utilizzati dagli utenti in mobilità. Il sondaggio evidenzia inoltre un utilizzo limitato (soltanto l’1% per le aziende in Italia) di strumenti a supporto della sicurezza delle applicazioni, che in un contesto remoto diventano uno dei target principali da parte di un potenziale attaccante.
Manca formazione e consapevolezza sulle minacce
Ben poche inoltre le attività di formazione e sensibilizzazione dei dipendenti sui temi della sicurezza (solo il 4% delle aziende in Italia). Un atteggiamento pericoloso dato che, secondo la survey, più della metà degli attacchi significativi subiti nel corso dell’ultima anno è da imputare, per circa una azienda su tre, alla scarsa consapevolezza dei dipendenti. E se gli attacchi di phishing ora aumentano, attirando l’attenzione attraverso email che hanno come oggetto l’emergenza sanitaria attuale, il rischio si fa più pressante, soprattutto per via della crescita di attacchi ransomware.
Modelli di business e nuove tecnologie per prevenire
È evidente quindi quanto sia necessario investire su un modello efficace di continuità del business, che preveda piani di gestione della crisi e modalità alternative sia di erogazione dei servizi informatici (“disaster recovery”) sia di approvvigionamento dalle terze parti. Si può solo migliorare, insomma, dato che secondo l’indagine di EY solo il 18% del budget di sicurezza è dedicato alle tematiche di gestione del rischio e di resilienza del business. Inoltre, bisogna puntare su nuove tecnologie: AI e analisi comportamentale consentirebbero di ottimizzare la capacità di identificare le vulnerabilità e fronteggiare gli attacchi. Ma solo il 5% delle aziende è focalizzata su questo fronte.
La security by design è un elemento trascurato
Secondo la survey, soltanto il 19% delle organizzazioni in Italia coinvolge le divisioni di sicurezza informatica fin dalle prime fasi di disegno delle nuove iniziative di business o tecnologiche, allo scopo di comprendere i relativi rischi di sicurezza ed individuare le misure di protezione più adeguate (“Security By Design”). Più del 20% delle aziende dichiara invece di concentrarsi principalmente sulle attività di detection, ovvero monitoraggio e risposta agli eventi di sicurezza, in linea con la maggiore percezione aziendale del ritorno sugli investimenti (ROI) delle stesse.
Chi conduce gli attacchi?
Su un 51% di società italiane che ha subito uno o più attacchi significativi nel corso dell’ultimo anno, il 26% è avvenuto a opera della criminalità organizzata, mentre il 21% è da imputarsi a cyber-attivisti. Ma le minacce provengono anche dall’interno: il 20% degli attacchi infatti sono dovuti alla negligenza del personale e il 13% ad attori malevoli interni.
