Spendere in cybersicurezza è una scelta saggia, se non obbligata di questi tempi. E tuttavia non sempre le aziende sanno dire se l’investimento abbia prodotto esattamente i risultati sperati. Un nuovo studio realizzato da Ponemon Institute per la società di sicurezza informatica AttackIQ (e titolato significamente: “L’illusione della cybersicurezza: il re è nudo”) svela che in più di un caso su due, almeno negli Stati Uniti, le aziende brancolano nel buio o quasi.
Su 577 responsabili It e responsabili di cybersecurity di società Usa intervistati, il 53% ha ammesso di non sapere se i controlli e gli strumenti messi all’opera nella rete aziendale siano davvero efficaci oppure no. C’è un chiaro problema di insufficiente visibilità, capacità di controllo, gestione e misurazione. In parole povere, gli investimenti fatti potrebbero aver dato buoni frutti oppure no, ma in ogni caso più della metà dei professionisti IT non sa farsi un’opinione.
I budget delle aziende statunitensi destinati alla sicurezza informatica sono in crescita: quasi sei due dieci (58%) pianificano un incremento di spesa intorno al 14% nel biennio 2019-2020. Se però mancano strumenti di visibilità e monitoraggio, è molto difficile calcolare il ROI di queste spese: e infatti solo il 39% degli intervistati pensa che la propria azienda sia pienamente ripagata degli investimenti fatti. “Le aziende spendono troppi soldi in soluzioni di cybersicurezza, senza sapere se siano efficaci”, ha sottolineato il Ceo di AttackIQ, Brett Galloway. Gli danno manforte le parole di Larry Ponemon, fondatore e presidente dell’omonima società di ricerca: “Quando soluzioni e processi come questo falliscono, molte aziende reagiscono al problema mettendoci altri soldi”.
Quel che è più grave, oltre agli investimenti mal diretti, è il fatto che possano esistere lacune e vulnerabilità di cui l’azienda non si accorge. Tra gli intervistati, il 63% ha segnalato casi di falsi positivi riconosciuti dalle soluzioni di sicurezza come pericoli, e viceversa di minacce da essi non scoperte né bloccate. Il 58% ritiene che l’assenza di visibilità sia la causa dei data breach che si verificano nella propria società. D’altra parte sono meno della metà, il 48%, le aziende in cui è stata adottata una piattaforma di Csv (Cyber Security Validation), deputata appunto a verificare che le tecnologie e i controlli di sicurezza funzioni a dovere. Forse non è un buio totale, quello in cui brancolano le aziende, ma di certo è almeno una nebbia.