Il perimetro delle minacce informatiche aumenta sempre più, gli attacchi crescono e la cyber hygiene è più importante che mai.
Per garantire una protezione totale, le aziende devono attivare autocontrolli per assicurarsi che la loro sicurezza informatica sia sufficientemente buona per resistere agli attacchi e riprendersi se qualcosa va storto.
È possibile che coloro che pensano che tutto vada bene, si stiano davvero illudendo?
La ricerca N-able sui fornitori di servizi di cybersecurity
Per rispondere alla domanda, N-able - realtà statunitense che offre ai provider di servizi IT potenti soluzioni software per monitorare, gestire e mettere in sicurezza sistemi, dati e reti dei loro clienti - ha condotto una ricerca chiedendo direttamente agli Msp (Managed Services Provider) qual è il livello della loro sicurezza informatica e di eseguire una versione ridotta di un audit approfondito basato sui principi Nist (Un documento punto di riferimento per la sicurezza informatica, che comprende standard, linee guida e best practice per la gestione del rischio di cybersecurity).
“L'idea non era quella di esaminare nel dettaglio ogni aspetto della loro sicurezza, ma di riflettere se gli Msp fossero preparati come pensavano, soprattutto per quanto riguarda le aree della sicurezza informatica più comunemente ignorate”, precisa Matteo Brusco, Distribution Sales Manager Italy & Spain/PT di N-able, entrando nel merito dei risultati della ricerca.
Gli Msp sono in grado di giudicare la propria cybersecurity?
Prima di analizzare i risultati è utile un parallelo con la psicologia per spiegare alcuni comportamenti.
“Gli esperimenti condotti dagli psicologi David Dunning e Justin Kruger nel 1999 dimostrano che non siamo assolutamente in grado di autovalutarci correttamente”, spiega Brusco. “Se analizziamo il livello di esperienza, chi ha ancora molto da imparare pensa di essere vicino a padroneggiare un'abilità, mentre chi ha molta più esperienza tende a sottovalutare le sue capacità. Ci sono inoltre persone che si rifiutano di essere pessime in qualcosa. Il pregiudizio è chiaramente intrinseco”.
Come si traduce tutto questo nella sicurezza informatica?
Ecco cosa è emerso dalla ricerca
È stato chiesto alle aziende di valutare la loro sicurezza informatica su una scala da uno a cinque. Quelle che si sono classificate con uno - non si possiede alcun programma di cybersecurity - sono state ignorate. Coloro che hanno dichiarato di non avere alcun programma di cybersecurity si sono effettivamente già sottoposti a un audit.
In seguito è stato chiesto loro di pensare ai cinque pilastri della cybersecurity: identificazione, protezione, rilevamento, risposta e ripristino.
Identificazione: L’obiettivo era quello di capire se le aziende conoscono tutto ciò che devono proteggere e se i dati e i dispositivi più importanti sono stati identificati e protetti. Questa è la categoria in cui la risposta fornita corrisponde maggiormente alla percezione che le aziende hanno della loro posizione complessiva in materia di cybersecurity. In generale, le aziende ritengono di conoscere davvero il proprio patrimonio informatico.
Protezione: questo aspetto è ciò che la maggior parte delle persone pensa comunemente della cybersecurity. Le reti sono protette dagli attacchi? È in uso l'autenticazione a più fattori? I dipendenti vengono sottoposti a uno screening dei rischi? I risultati ci hanno sorpreso. Le aziende che hanno ottenuto il punteggio più alto si sono dimostrate meno fiduciose in questo ambito. Con le vulnerabilità in continua evoluzione, forse considerano quest'area come una di quelle in cui devono migliorare costantemente. Tuttavia, il gruppo con la valutazione più bassa si è dimostrato più fiducioso. Valutazione Dunning-Kruger: Medio
Rilevamento: le aziende sono in grado di individuare attività insolite e vulnerabilità? E se parliamo di personale, connessioni, dispositivi e software non autorizzati? Anche in questo caso, le aziende più fiduciose si sono dimostrate qui meno fiduciose, ma quelle meno fiduciose hanno ottenuto un punteggio più alto e, di fatto, più alto rispetto a qualsiasi altra categoria.
Valutazione Dunning-Kruger: Alto
Risposta: le persone sanno quali sono i loro ruoli in caso di crisi? Ci sono processi in atto per mitigare quando le cose non vanno per il vero giusto? Le nuove vulnerabilità sono mitigate? Questa area della cybersecurity viene spesso trascurata. In generale, le aziende sono fiduciose nella loro capacità di rispondere a un evento di cybersecurity, ma i risultati suggeriscono che questo aspetto non è di primario interesse quando le aziende si valutano.
Ripristino: cosa succede quando si subisce un attacco? Esiste un piano di recupero? In generale, le aziende si sono dimostrate fiduciose nella loro capacità di riprendersi da un evento di cybersecurity, di comunicare efficacemente con gli stakeholder interni ed esterni e sembrano corrispondere alla loro percezione dei programmi di cybersecurity.Valutazione Dunning-Kruger: Basso
Dunning-Kruger nella sicurezza informatica
“I risultati ci hanno sorpreso. Ci aspettavamo che le aree della cybersecurity talvolta non considerate fondamentali, come il ripristino e l'identificazione, fossero quelle in cui le aziende sopravvalutavano le proprie capacità”, spiega Brusco. “Ma in realtà, quando abbiamo chiesto di pensare a ciascun pilastro in modo più dettagliato, sono state la protezione, il rilevamento e la risposta le aree più diverse rispetto ai punteggi iniziali.
Che cosa significa tutto ciò?
Le aziende dovrebbero analizzare ogni decisione presa in materia di cybersecurity e verificare il problema che emerge senza pregiudizi. Questo dovrebbe avvenire sotto forma di audit standardizzati e ricorrenti.
Con l'aumento delle minacce informatiche, le aziende devono assicurarsi di disporre della tecnologia necessaria per prevenire, identificare e rispondere agli attacchi. Le aziende devono considerare la sicurezza informatica una priorità assoluta, fondamentale per tutto ciò che fanno. Se qualcosa va storto, può fare la differenza tra la sopravvivenza o meno di un'azienda.
Ne consegue che ogni decisione in materia di cybersecurity deve dipendere da una comprensione imparziale, e non da una pura convinzione.
