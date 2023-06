Less is more: quattro falsi miti di cybersicurezza da sfatare Strategie che in realtà non funzionano, credenze comuni senza sostanza: gli analisti spiegano perché, nella sicurezza informatica, a volte è meglio non strafare e focalizzarsi sui risultati. Pubblicato il 13 giugno 2023 da Redazione

Less is more: spesso è vero, e vale anche per l’ambito della sicurezza informatica in particolare delle strategie dei chief information security officer (Ciso). Non sempre una maggiore quantità di dati o un maggior numero di soluzioni di protezione messe in campo equivalgono a un potenziamento della capacità di difesa. Nel campo della cybersicurezza esistono alcuni falsi miti da sfatare, come illustrato da Gartner nel corso del suo recente “Security & Risk Management Summit” tenutosi in Maryland.



“Molti Ciso sono bruciati dallo stress”, ha commentato Henrique Teixeira, senior director analyst di Gartner, “e sentono di avere scarso controllo su ciò che crea stress o sull’equilibrio tra lavoro e vita privata. I leader di cybersicurezza e i loro team ci mettono il massimo impegno, ma questo non produce il massimo impatto”.



I falsi miti sono, in particolare, quattro e gettano ombra su ciò che realmente costituisce un valore per la cybersicurezza. La logica di fondo è una che i Ciso dovrebbero agire pensando a massimizzare gli effetti dei loro investimenti, anziché esagerare nell’impegno e negli investimenti senza però riuscire a ottenere i risultati sperati. Per dirla nelle parole di Gartner e con una metafora strappata all’ambito farmacologico, bisogna ragionare in termini di “dose minima efficace” (minimum effective).



“Una mentalità da dose minima efficace è un approccio consapevole e basato sul Roi per portare la cybersicurezza nel futuro”, ha detto Leigh McMullen, distinguished vice president analyst di Gartner. “L’idea di un minimo potrebbe sembrare strana ma si riferisce agli input, non ai risultati. Questo approccio permetterà ai ruoli di cybersicurezza di andare oltre alla semplice difesa della fortezza per sbloccare il loro vero potenziale nel creare valore tangibile”.



Primo falso mito: argomentazioni basate su molti dati

Comunemente si crede che, per convincere i dirigenti aziendali a supportare iniziative di cybersicurezza, il miglior modo sia presentare elaborate analisi di dati, per esempio calcoli sulla probabilità che un certo evento si verifichi. In realtà, non è conveniente quantificare il rischio in questo modo. A detta di Gartner, solo un Ciso su tre ha successo quando si propone al management aziendale con argomentazioni basate sulla quantificazione del rischio. Meglio, invece, adottare metriche basate sui risultati ottenibili a fronte di certi investimenti.



“Anziché continuare a inseguire più dati e più analisi, è saggio per i Ciso adottare un approccio di insight minimo efficace", ha detto Teixeira. “Determinate la quantità minima di informazioni necessarie per tracciare una linea tra i finanziamenti dedicati dall’azienda alla cybersicurezza e la quantità di vulnerabilità che si possono affrontare”.



Secondo falso mito: inseguire le ultime tecnologie

La spesa mondiale in prodotti e servizi per la cybersicurezza e la gestione del rischio raggiungerà i 189,8 miliardi di dollari quest’anno, con una crescita del 12,7% rispetto al 2022. Nonostante l’aumento della spesa, i leader della sicurezza informatica non pensano che la propria azienda sia meglio protetta. Prevale, a volta, una “mentalità dell’acquisto”, alla rincorsa delle ultime novità.



Anche in questo caso, secondo Gartner, dovrebbe prevalere il principio della “dotazione di strumenti minima efficace” per rilevare, bloccare e mitigare le minacce. Oltre ai risparmi, questo ha anche il vantaggio di semplificare l’architettura di cybersicurezza aziendale, riducendo complessità e problemi di interoperabilità, ed evitando di sopraffare il personale con un numero eccessivo di strumenti.



(Immagine di Freepik)



Terzo falso mito: aggiungere professionisti della cybersicurezza

Come noto, la domanda di professionisti esperti di sicurezza informatica è in crescita tra le aziende, che spesso faticano a reperire le persone giuste sul mercato del lavoro. Ma anche qui c’è un luogo comune da sfatare. “La cybersicurezza”, ha spiegato McMullen, “è un enorme collo di bottiglia per la trasformazione digitale, in gran parte per via del mito che solo i professionisti della cybersicurezza possano svolgere un serio lavoro cyber”. La giusta strategia? Democratizzare le competenze e l’esperienza in sicurezza informatica, anziché assumere nuovo personale.

Con un approccio di “competenza efficace minima”, dotando un maggior numero di dipendenti di “capacità di giudizio cyber”, l’intera azienda si avvantaggia di maggiori livelli di sicurezza, per esempio perché è meno probabile che vengano installate e usate tecnologie non sicure. Parallelamente, per i Ciso e i loro team si riduce il carico di lavoro.



Quarto falso mito: esagerare con regole e controlli

Un recente sondaggio di Gartner ha evidenziato che il 69% dei dipendenti nel corso dell’anno ha aggirato le regole di cybersicurezza dell’azienda (per esempio usando applicazioni o servizi non ammessi); il 74% lo farebbe se questo servisse a raggiungere un obiettivo di lavoro. Gli addetti alla cybersicurezza conoscono il problema del mancato rispetto delle policy, e la reazione tipica è di aggiungere nuove regole e restrizioni.

Ma non è la strada giusta: meglio anche in questo caso imporre le regole minime efficaci per bilanciare sicurezza ed esigenze di prestazioni delle applicazioni e tecnologie. La user experience dev’essere sempre presa in considerazione.



Molte aziende stanno già andando in questa direzione, almeno quelle più strutturate. Gartner prevede che entro il 2027 nel 50% delle grandi imprese i Ciso avranno adottato pratiche di cybersicurezza umano-centriche per minimizzare i disagi di esperienza utente e massimizzare il rispetto delle regole.