Secondo un nuovo studio condotto da Forrester Consulting per conto di WithSecure (precedentemente nota come F-Secure Business), le organizzazioni seguono un approccio reattivo alla sicurezza informatica che ne frena i progressi nella dimostrazione del valore e nell’allineamento ai risultati aziendali.
L’83% degli intervistati nello studio si è detto interessato, intenzionato ad implementare, o in fase di ampliamento dell’adozione di soluzioni e servizi di sicurezza basati sui risultati. Tuttavia, lo studio ha anche rilevato che la maggior parte delle organizzazioni attualmente ha un approccio reattivo alla cybersecurity. Il 60% degli intervistati ha dichiarato di reagire ai singoli problemi di sicurezza informatica non appena si presentano.
Si riscontra una certa variabilità a seconda del settore: il 71% delle aziende manifatturiere ha evidenziato questa reattività, rispetto a poco più della metà del settore dei servizi finanziari, altamente regolamentato.
Indipendentemente dal settore, gli intervistati ritengono che un approccio reattivo sia problematico per le loro organizzazioni. Il 90% di loro ha dichiarato di avere difficoltà a reagire ai problemi di sicurezza informatica quando si presentano. Questo accade nonostante i budget per la sicurezza informatica stiano crescendo: il 71% degli intervistati, infatti, concorda sul fatto che ogni anno spendono di più per la sicurezza informatica.
La visibilità sui rischi informatici, il reperimento delle competenze e delle risorse necessarie e la capacità di rispondere in modo rapido ed efficace sono state le sfide più comuni evidenziate dagli intervistati.
“Oggi la maggior parte degli investimenti in sicurezza informatica è finalizzata alla riduzione dei rischi informatici. Tuttavia, il problema sorge quando i rischi che vengono mitigati non sono quelli più importanti per i risultati che l’azienda vuole ottenere. Questo può portare a una totale disconnessione degli investimenti in sicurezza informatica dall’azienda o a un mancato finanziamento della cyber security”, ha spiegato Christine Bejerasco, Chief Security Officer di WithSecure™.
Secondo lo studio di Forrester, la sicurezza informatica basata sui risultati è un approccio che consente ai leader aziendali di semplificare la cyber security coltivando solo le capacità che garantiscono in modo misurabile i risultati desiderati, rispetto ai metodi tradizionali basati sulle minacce, sulle attività o sul ROI.
I risultati più comuni che gli intervistati desiderano siano supportati dalla sicurezza includono: la gestione del rischio, con il 44% degli intervistati che vuole ridurre il rischio per raggiungere i propri obiettivi di sicurezza informatica; l’esperienza del cliente, con il 40% degli intervistati che vuole che la sicurezza migliori l’esperienza del cliente; e la crescita dei ricavi, evidenziata dal 34% degli intervistati.
Sebbene molti intervistati avessero chiari i risultati che avrebbero voluto ottenere grazie alla sicurezza, solo un’organizzazione su cinque ha dichiarato di avere un allineamento completo tra le priorità della sicurezza informatica e i risultati aziendali.
Numerosi ostacoli complicano gli sforzi per allineare la sicurezza informatica ai risultati aziendali, tra cui, ma non solo, la gestione di un ambiente IT complesso, la gestione di obiettivi aziendali e di sicurezza informatica contrastanti e il mantenimento dei risultati desiderati delle tecnologie di rilevamento.
Tuttavia, la valutazione della capacità delle priorità di sicurezza di supportare i risultati aziendali è risultata altrettanto problematica. Tra le sfide più importanti evidenziate dagli intervistati vi sono:
- Il 42% non ha una comprensione sufficiente della maturità dello stato attuale e di quello in target, rispetto al quale valutare il valore della sicurezza.
- Il 37% ha espresso difficoltà nel misurare il valore della sicurezza informatica.
- Il 36% ha incontrato difficoltà nell’acquisizione di dati coerenti e significativi.
- Il 28% ha riscontrato difficoltà nel superare il paradosso della sicurezza nella comunicazione del valore (gli investimenti in una sicurezza efficace si traducono in minori opportunità di dimostrare il valore).
- Il 23% ha incontrato difficoltà nel tradurre le metriche di sicurezza informatica in qualcosa di significativo per il consiglio di amministrazione.