Il panorama della cybersicurezza aziendale è costellato da minacce cyber sempre più evolute e pericolose. Come si stanno muovendo le aziende? Come si prospetta il futuro?
Qualys, azienda che fornisce innovative soluzioni per IT, sicurezza e conformità basate su cloud, ha annunciato nella vetrina internazionale della Qualys Security Conference (QSC) EMEA, importanti novità di visione e di approccio al mercato della cybersicurezza globale.
Uno sguardo alla cybersicurezza aziendale
Gestire il rischio informatico alla velocità del business, colmando le lacune ancora esistenti allo scopo di eliminare il rischio aziendale è stato il tema al centro dell’intervento del Ceo, Sumedh Thakar che di fronte a oltre 600 partecipanti, tra manager C-level e Clienti riuniti da tutto il mondo, ha approfondito la questione del divide che ancora oggi vede da un lato la cybersicurezza aziendale e dall’altro le esigenze e i tempi del business.
Con un numero sempre più elevato di strumenti diversi usati per misurare e gestire il rischio – molte grandi organizzazioni operano con soluzioni spesso disgiunte, con una grande difficoltà nel quantificare l’impatto del rischio informatico sulle aziende.
Ai leader della sicurezza di ogni origine geografica serve andare oltre l’enumerazione delle criticità riscontrate per giungere a una quantificazione reale dell’impatto che il rischio informatico ha sulle aziende, in modo da potersi concentrare solo sull’identificazione e la misurazione delle vulnerabilità più rilevanti ed accorciare i tempi di intervento nell’eliminazione totale del rischio informatico, a vantaggio di migliori risultati di business.
È tempo di rilevamento e prioritizzazione
La varietà delle forme di rischio che minano oggi la cybersicurezza aziendale è enorme: dal rischio di perdita di dati a quello di non conformità fino ai danni reputazionali e di disponibilità e continuità di servizio, ognuna di queste forme comporta implicazioni che possono minare fortemente l’assetto economico-finanziario, manageriale e operativo delle organizzazioni. In questo scenario è fondamentale riuscire a identificare, misurare, comunicare e rimediare solo ciò che è realmente rilevante, perché come afferma Sumedh Thakar: “Se tutto è critico, nulla lo è”.
Un cambio di direzione nell’approcciare la cybersicurezza aziendale deve dunque iniziare con il rilevamento e la prioritizzazione. È fondamentale garantire una completa visibilità, ma siamo ancora lontani da questo traguardo se si pensa che il 45% delle risorse non è classificato correttamente in base alla criticità aziendale per mancanza di visibilità sugli asset esterni e interni, con oltre il 30% di questi a non risultare del tutto visibile e/o catalogato. La maggior parte dei programmi di sicurezza manca poi del contesto delle informazioni sulle minacce utile a identificarle correttamente. Su 2,6 miliardi di rilevazioni di vulnerabilità analizzate, 2,1 (81%) sono state considerate “ad alto rischio” o “critiche” secondo CVSS. Con la piattaforma Qualys TruRisk, solo 603 milioni sono risultate “ad alto rischio” o “critiche”. 87 milioni sono poi le vulnerabilità ad alto rischio che sono state trovate da Qualys e che CVSS non aveva invece rilevato. Le statistiche di risposta informatica, inoltre, di frequente non si traducono in una quantificazione del rischio informatico.
Cybersicurezza aziendale: quali criticità affrontano i CISO (anche in Italia)?
Il Ceo di Qualys ha illustrato varie criticità che le organizzazioni si trovano ad affrontare oggi. Sempre più marcata è la tendenza che vede i CISO chiamati a riportare direttamente al CEO (il 47% in US) e a dover riferire al Board ed ai diversi stakeholder aziendali: una conferma che la cybersicurezza aziendale è sentita in misura crescente come un punto nevralgico in seno alle dinamiche di business.
Anche in Italia questa tendenza sta iniziando a manifestarsi con crescente frequenza – ha commentato a Londra Emilio Turani, Managing Director per L’italia ed il Sud Est Europa di Qualys.
La cybersicurezza aziendale sta diventando un elemento abilitante nei processi di business, e la necessità di ottenere una predicibilità del budget aziendale nel medio e lungo periodo è una tendenza sempre più rivelante.
Il CISO si confronta in modo sempre più strategico con i vari stake holder aziendali e una gestione che è basata su una reale gestione del rischio coadiuva l’interoperabilità con le terze parti semplificandone la gestione e riducendo, al contempo, il costo di possesso e di amministrazione.
In Italia notiamo una crescente richiesta in questa direzione che interessa l’ecosistema e tutti i segmenti di mercato, soprattutto in contesti dove bisogna necessariamente razionalizzare le risorse per poterle poi includere nei processi di business aziendali.
Le oltre 20 app dell’Enterprise TruRisk Platform sono completamente integrate e condividono in modo nativo i dati raccolti in modo da poter articolare l’impatto finanziario del livello di sicurezza in tempo reale.
