Le applicazioni e i dati sono il punto debole delle aziende. O meglio dovrebbero essere il loro punto di forza, il loro valore aggiunto, ma è proprio in queste aree (più che altrove) che grandi lacune di cybersicurezza sono ancora da colmare. Il nuovo studio “Cybersecurity Readiness Index” di Cisco, condotto da una società di ricerca indipendente e basato su 6.700 questionari (somministrati tra agosto e settembre del 2022 a responsabili di cybersicurezza aziendale di 27 Paesi), ha evidenziato che gli investimenti e i progetti sono mediamente più maturi nell’area dell’identity management e nella protezione dei dispositivi endpoint. Di contro, le aziende sono più immature sul fronte della sicurezza delle applicazioni e dei dati.
Dal sondaggio è stato ricavato un indice che misura la preparazione delle aziende sui cinque “pilastri” della sicurezza informatica, i cinque beni da proteggere, ovvero le identità, i dispositivi, le reti, i carichi di lavoro applicativi e i dati. Dalle risposte è stato tratto un punteggio che posiziona le aziende in quattro livelli di maturità e preparazione: “principiante” (punteggio inferiore a 10, identifica le realtà che hanno appena iniziato ad adottare soluzioni di cybersicurezza nell’area di riferimento), “in formazione” (da 11 a 44, esiste un certo grado di deployment), “in avanzamento” (da 45 a 75) e “maturo” (punteggio superiore a 76, aziende già pronte).
Sul totale dei 27 Paesi considerati, solo il 15% delle aziende può definirsi “matura” dal punto di vista della cybersicurezza, mentre la maggioranza (46,9%) sta formando la propria preparazione, il 29,8% è in uno stadio di media maturità e l’8,3% è un principiante.
("Cisco Cybersecurity Readiness Index”, aprile 2023)
Le percentuali però a cambiano a seconda dell’area considerata. Nella protezione delle identità ben il 42,8% delle aziende del campione è già nello stadio della maturità, il 29,6% ci si sta avvicinando, il restante 26% è a metà percorso e solo l’1% è appena agli inizi. Le tecnologie relative a quest’area sono principalmente sistemi di gestione degli accessi e delle identità, gestione degli accessi privilegiati e servizi come Active Directory.
“L’identity management è un tema molto sentito e su cui c’è già un livello di deployment avanzato”, ha dichiarato Andrea Castellano, cybersecurity leader di Cisco Italia, a commento dei dati della ricerca. “Negli ultimi anni tante aziende hanno investito su soluzioni di sicurezza delle identità, anche sull’onda del covid e del lavoro ibrido”.
Per la sicurezza dei dispositivi le percentuali calano leggermente: nelle quattro categorie, dal grado di maturazione maggiore al minore, si posiziona nell’ordine il 31,5%, il 12,6%, il 27% e il 28,3% delle aziende. Le soluzioni implicate, in questo caso, sono antivirus, piattaforme di rilevamento e risposta sugli endpoint, firewall, controlli integrati nei sistemi operativi, blocco dei drive Usb e altro ancora.
Lo scenario delle reti non è troppo preoccupante. Solo il 18,6% delle aziende vanta una piena maturità ma il 25% è a buon punto e il 46,8% sta migliorando la propria postura di cybersicurezza, mentre solo il 9,8% è un principiante. Le soluzioni coinvolte sono policy di segmentazione delle reti, firewall con sistemi di blocco delle intrusioni, strumenti di analisi comportamentale sulla rete, honeypot e sensori.
I problemi veri arrivano quando si guarda alle applicazioni e ai dati. “Le applicazioni sono molto vicine al business, devono evolvere rapidamente, e c’è ancora poca sensibilità sul tema della sicurezza”, ha sottolineato Castellano. “E purtroppo i dati, pur rappresentando l’elemento distintivo delle aziende, non sono ancora adeguatamente protetti”. Appena l’11,6% delle aziende è totalmente capace di proteggere i workload applicativi, il 23,3% lo è abbastanza, il 50,8% solo in parte e il 14,3% poco o niente. Firewall software, capacità di protezione degli endpoint, sistemi per la prevenzione della perdita di dati, strumenti che proteggono direttamente le applicazioni e strumenti di visibilità e forensica sono le tecnologie implicate.
Per quanto riguarda i dati, la percentuale di aziende mature è il 22%, e a scendere nelle altre categorie ci sono il 27,9%, il 27,6% e il 22,5% degli intervistati. Le soluzioni coinvolte sono strumenti di crittografia, identificazione e classificazione dei dati (con funzioni di data loss prevention), software e servizi di backup e ripristino, strumenti di prevenzione delle intrusioni.
La situazione italiana
Nel campione d’indagine erano incluse anche 200 aziende italiane (per il 47% realtà da meno di 250 dipendenti, per il 63% di dimensioni maggiori), che hanno fornito un quadro illuminante sulla situazione nostrana della cybersicurezza. Le soluzioni che vantano maggiore penetrazione sono quelle per la protezione della posta elettronica (presenti nell’85% dei casi), delle reti (79%), del Web (74%), degli endpoint (73%), per la sicurezza basata su cloud (72%), autenticazione multifattoriale (72%) e Vpn (66%).
Le lacune non mancano e le soluzioni di cybersicurezza, per quanto efficaci, come noto non possono escludere al cento per cento l’eventualità di un attacco. Tant’è che il 60% degli intervistati italiani ha ammesso che la propria azienda ne ha subìto almeno uno nel corso dell’anno precedente al sondaggio (la media globale è 57%). I problemi in cui si incappa più di frequente sono, nell’ordine, i malware, gli attacchi di phishing e quelli di SQL injection.
Se non altro il budget dedicato alla sicurezza informatica è tendenzialmente cresciuto sull’onda del covid e delle diverse modalità organizzative delle aziende: il 23%, in Italia, segnala un incremento “significativo”, quota comunque di molto inferiore al 44% della media dei 27 Paesi. A ciò si aggiunge per l’87% delle aziende italiane (versus 86% di media) l’intenzione di incrementare il budget per l’anno successivo. Adottare nuove soluzioni tecnologiche è sicuramente utile ma servono anche le competenze, e nel 23% delle aziende nostrane (versus 46% di media globale) c’è una significativa carenza di talenti in area cybersicurezza.
Complessivamente, solo il 7% delle aziende italiane può già dire di aver raggiunto la maturità nella cybersicurezza per i tutti e cinque i pilastri, cioè identità, dispositivi, reti, applicazioni e dati. “Troppo, troppo poche”, ha sottolineato Castellano. “Volendo però trovare un aspetto positivo, sta emergendo una maggiore consapevolezza sulla cybersicurezza. Il tema della gestione del rischio è entrato nel board delle aziende e questo è un abilitatore per smuovere investimenti”.
Il 94% delle aziende italiane sta pianificando investimenti di upgrade o ristrutturazione dell’infrastruttura IT per rispondere a sfide di sicurezza. L’87% (dato allineato con l’86% della media globale) pensa di aumentare di almeno il 10% il proprio budget destinato alla sicurezza informatica nel breve periodo (un anno). Per il 23% la carenza di competenze interne in cybersicurezza rappresenta un problema.
Abbattere i silos con un approccio integrato
Accanto ai mancati investimenti e alle lacune di competenze c’è poi un terzo problema, annoso e ben noto agli addetti ai lavori: i famigerati “silos”, in cui applicazioni e dati vivono segregati, senza comunicare tra loro. Dalla frammentazione derivano spesso problemi di mancata visibilità, dunque di vulnerabilità non rilevate.
“Anche le realtà che stanno facendo grossi investimenti cyber non sono immuni da incidenti e attacchi”, ha commentato Castellano. “Ci sono aree di debolezza dovute alla complessità delle reti e al numero di fornitori, ma soprattutto alla presenza di applicazioni legacy che difficilmente possono essere modernizzate, magari scritte in Cobol, e pensiamo anche a tutto il mondo dei mainframe. Queste applicazioni sono il target ideale per gli attaccanti che vogliono sfruttare le vulnerabilità”.
Quello proposto da Cisco è un approccio integrato