notizie

BT e KPMG mettono in guardia le aziende sulle trappole della cybersecurity

DC17-291 (10 Luglio 2017)

La battaglia contro il cyber crime non si vince solo con i prodotti di sicurezza informatica

A seguito degli attacchi ransomware globali ad alto profilo come WannaCry e Petya, BT e KPMG hanno pubblicato oggi un nuovo report sulla sicurezza informatica che contiene suggerimenti pratici destinati alle aziende di qualunque dimensione su come meglio gestire il loro percorso di sicurezza e trasformarlo in un'opportunità di business.

Il nuovo report, “The cyber security journey – from denial to opportunity”, mette in guardia le imprese sulle trappole insidiose in cui potrebbero cadere quando sono alle prese con il complesso compito di mettere in sicurezza l'impresa digitale. Ad esempio rimanere bloccati nelle fasi di ‘negazione del problema’ e ‘preoccupazione’ da un lato, o in quelle di ‘ falsa sicurezza’ e ‘amara scoperta’ dal lato opposto.

Security capability

Se il report sottolinea che gli investimenti in tecnologie come firewall e protezione antivirus sono una pratica essenziale di buona manutenzione e sono alla base del percorso di sicurezza, le aziende dovrebbero evitare di fare investimenti azzardati in prodotti di sicurezza solo come riflesso condizionato. Questo è particolarmente vero per le aziende il cui si è passati dal negare il problema al preoccuparsi costantemente, e l’investimento nella tecnologia più recente viene considerato un’arma infallibile. Questo errore comune può far sì che tali imprese siano preda non solo dei criminali informatici ma anche di venditori IT particolarmente intraprendenti.

Le imprese devono prima valutare i controlli che hanno posto in essere confrontandoli con le best practice - come ad esempio le linee guida rilasciate dal National Cyber Security Center del Regno Unito (NCSC) per aiutare a individuare eventuali lacune e dare priorità alle aree in cui investire. Inoltre è responsabilità di ciascun elemento dell’organizzazione, dal management a scendere, mantenere elevati standard di ‘igiene informatica’, mentre alle imprese spetta il compito di investire nella formazione e nell’accrescere la consapevolezza del personale. Ciò può aiutare a far sì che i dipendenti passino dall’essere il punto più debole di qualsiasi security chain all’essere l’asset più importante di ciascuna azienda nella lotta per proteggere i dati.

Mark Hughes, CEO, BT Security

La scala globale dei recenti attacchi ransomware ha mostrato la stupefacente velocità in cui anche gli attacchi meno sofisticati possono diffondersi in tutto il mondo. Molte organizzazioni avrebbero potuto evitare questi attacchi se avessero mantenuto migliori standard di igiene informatica e avessero adottato le corrette misure di base. Questi incident globali ci ricordano che oggi ogni business, dal trader che lavora da solo alle piccole e medie imprese fino alle grandi multinazionali, deve affrontare la gestione della sicurezza delle proprie infrastrutture informatiche, nonché delle persone e dei processi. Questo report mira a contribuire a proteggere l'impresa digitale guidando le aziende lungo il loro percorso di cyber security.".
- Mark Hughes, CEO, BT Security

David Ferbrache, Technical Director, KPMG’s Cyber Security Practice

La recente quantità di attacchi informatici sta mantenendo il rischio informatico tra le maggiori priorità e di conseguenza gli investimenti si stanno facendo. Devono però essere evitate, da parte della business community, reazioni affrettate, poiché la sicurezza informatica è un percorso, non va affrontato con soluzioni predefinite, e la prima cosa da fare resta accertarsi che le misure di base, come installare le patch ed effettuare i backup, siano correttamente implementate. È importante costruire una cultura della sicurezza, aumentare la consapevolezza del personale e ricordare che la sicurezza deve supportare il business, non ostacolarlo.

Le minacce informatiche si stanno evolvendo e le imprese si trovano ad affrontare imprenditori del crimine senza scrupoli. La soluzione non arriva da una singola tecnologia da specialisti, ma prevede uno sforzo congiunto in un mondo dove il perimetro delle aziende sta diventando labile. Mentre i criminali sono sempre più creativi nel trovare i punti deboli, i CISO del futuro devono allo stesso tempo preoccuparsi del rischio digitale, aiutare l'impresa a cogliere opportunità e costruire la loro cyber resilience".

- David Ferbrache, Technical Director, KPMG’s Cyber Security Practice

Anche se i problemi di sicurezza informatica sono sempre più discussi a livello di board, il report rileva che tali discussioni sono troppo poco frequenti e vengono trattate come un problema separato e distinto dal più ampio rischio operativo. Troppo spesso il problema della sicurezza informatica non è incluso nella strategia di business complessiva.

Il documento afferma inoltre che un'architettura informatica eccessivamente complessa può peggiorare i security gap, in modo particolare se la tecnologia utilizzata è troppo difficile da utilizzare o se c’è mancanza di integrazione.

Per affrontare questi rischi e ottenere una vera leadership nella sicurezza informatica, il report invita le aziende a concentrarsi sui processi di governance, sulla corretta integrazione delle tecnologie e le invita a valutare l'outsourcing di alcuni aspetti meno critici della sicurezza verso un partner affidabile. Questo, combinato con la condivisione di intelligence, good practice ed esperienze all’interno di una rete di peer allargata potrà mettere le aziende in condizione di pensare alla sicurezza informatica in modo diverso. Vale a dire non come un rischio che viene discusso dal board un paio di volte all'anno, ma come una opportunità di business e un abilitatore della trasformazione digitale.

Il report è disponibile per il download all'indirizzo al link: Discover the five stages of cyber security maturity.

Media Contact

Carlo Ridolfi
Media Relations Manager, BT Italia
Tel: +39 02 75292.260; Fax: +39 02 75292.771
E-mail: carlo.ridolfi@bt.com