RSA ha reso pubblici i risultati rilevati dalla ricerca Cybersecurity Poverty Index, realizzata attraverso oltre 400 interviste a professionisti di sicurezza di 61 Paesi, inclusa l’Italia.
La ricerca ha permesso ai partecipanti di valutare autonomamente il grado di maturità dei programmi di cybersicurezza adoperando come metro di misura il NIST Cybersecurity Framework (CSF).
Lo studio fornisce una preziosa panoramica mondiale sulla maturità e sulle misure di sicurezza all’interno di organizzazioni differenti per dimensioni, settori e aree geografiche. Se normalmente si pensa alle grandi aziende come a quelle dotate di risorse particolarmente adatte a implementare una cyberdifesa efficace, i risultati della ricerca indicano, invece, come le dimensioni non siano affatto un fattore determinante ai fini della maturità della cybersicurezza; inoltre, quasi il 75% di tutto il campione intervistato ammette livelli insufficienti di maturità in questo ambito.
Numerose aziende intervistate hanno registrato negli ultimi dodici mesi incidenti di sicurezza con conseguenti perdite o danni operativi. L’area più matura è quella riguardante la protezione. I risultati della ricerca evidenziano in termini quantitativi quanto le aziende siano mature in ambito prevenzione, nonostante la consapevolezza che le strategie e le soluzioni di prevenzione non siano, da sole, sufficienti a contrastare gli attacchi più avanzati e sofisticati.
Inoltre, il punto più debole delle aziende intervistate risiede nella capacità di misurare, valutare e mitigare i rischi di cybersicurezza: il 45% del campione descrive infatti le proprie capacità in quest’ambito come “inesistenti”, e solo il 21% si reputa maturo. Tale carenza rende difficile, se non impossibile, prioritizzare le attività e gli investimenti in sicurezza, un elemento base per qualunque organizzazione che voglia migliorare le proprie capacità di difesa.
Contro le aspettative, la ricerca evidenzia che le dimensioni di un’organizzazione non corrispondono ad un’effettiva maturità, tanto che l’83% delle aziende intervistate – con oltre 10.000 dipendenti – valuta le proprie capacità “poco sviluppate” in termini di maturità complessiva. Questo risultato suggerisce che l’esperienza e la visibilità sulle minacce avanzate delle grandi organizzazioni implicano la necessità di una maggiore maturità rispetto alla loro situazione attuale. Queste aziende sono più consapevoli dell’esigenza di disporre di soluzioni e strategie più robuste e mature per individuare e rispondere agli attacchi.
Contro ogni previsione sono anche i risultati emersi dal segmento delle aziende operanti nel settore finanziario, un settore che viene frequentemente citato come il più avanzato in termini di maturità in ambito sicurezza. Nonostante i luoghi comuni, tuttavia, le società finanziarie intervistate non ritengono di costituire il settore più maturo: solo un terzo delle aziende giudica infatti di sentirsi preparato. Gli operatori di infrastrutture critiche, che rappresentano il target originale del CSF, dovranno compiere significativi passi avanti per migliorare il proprio grado attuale di maturità. Le società di telecomunicazioni hanno riportato il livello più alto, con il 50% che dichiara di aver sviluppato capacità significative, mentre la pubblica amministrazione si è classificata ultima nell’indagine con il solo 18% che ritiene di aver sviluppato competenze di rilievo.
Malgrado il CSF sia stato sviluppato negli Stati Uniti, il grado di maturità riportato dalle aziende che si trovato nelle Americhe è minore rispetto a quello delle regioni APJ ed EMEA. Nell’area APJ (Asia-Pacifico e Giappone) è stato raggiunto il grado di maturità più elevato, con il 39% degli intervistati che si ritiene “sviluppato” o “avvantaggiato” in termini di maturità complessiva; un dato che scende al 26% nell’area EMEA (Europe, Middle-East-Africa) e al 24% nell’area delle Americhe.
