Oggigiorno la cybersecurity è un argomento di primo piano nella strategia digitale di qualunque azienda, piccola e grande che sia. Di fatto, soprattutto con lo spostamento verso un modello di lavoro ibrido, nessuno è al sicuro da attacchi informatici. Tant’è vero che molti oramai parlano di cyber-resilienza piuttosto che di cyber-sicurezza. Ovvero, non è più questione di come si presenterà il problema ma, piuttosto, di quando si presenterà. La domanda, però, permane: come si può valutare se la nostra organizzazione è pronta dal punto di vista della sicurezza informatica? Cisco propone un indice numerico: il Cybersecurity Readiness Index. In pratica, un valore che misura il grado di prontezza nell’affrontare i problemi di sicurezza moderni.
L’indice di sicurezza di Cisco
Cisco costruisce il suo cybersecurity index andando a misurare cinque domini fondamentali per la security. In particolare, si vanno a prendere i cinque domini che sono alla base dell’approccio zero trust network access. Questi sono: la verifica dell’identità, i dispositivi, l’infrastruttura di rete, le applicazioni e i dati. Per ognuno di questi domini si chiede al responsabile della sicurezza di rispondere a una serie di domande su cosa sta facendo l’organizzazione o cosa conta di fare nell’immediato futuro. Ogni risposta da luogo a un punteggio che si combina agli altri tramite una media pesata per generare il Cybersecurity Readiness Index, espresso con un numero da 1 a 100. L’indice permette poi a Cisco di classificare l’organizzazione in una di quattro categorie.
Proteggiti con Bitdefender, Leader in Cybersecurity
Con un punteggio inferiore al 10 ci sono coloro che ancora non stanno affrontando il problema della security, definiti principianti. Chi sta iniziando ha un punteggio tra 11 e 44 mentre realtà che sono già a un buon punto hanno un punteggio tra 45 e 75. Infine, chi ha già quasi completato il percorso e si può definire maturo, ha un punteggio superiore al 75.
La situazione globale
Per fare un valutazione della situazione a livello globale, Cisco si è avvalsa di una ricerca condotta da un organismo indipendente. Durante l’indagine sono stati intervistati 6700 referenti per la security di altrettante organizzazioni distribuite su 27 mercati. Per ognuna di queste organizzazioni è stato calcolato un Cybersecurity Readiness Index.
Per ovvi motivi di spazio non è possibile prendere in considerazione ogni singola voce qui, ma ci soffermeremo solo sugli aspetti più importanti. L’argomento merita comunque un approfondimento, per chi fosse interessato, il report completo di Cisco è disponibile online.
Nella valutazione complessiva, solo il 15% degli intervistati si classifica come maturo, mentre ben il 46.9% risulta avere iniziato da poco a occuparsi del problema. Pertanto, la strada da fare sembra ancora parecchio lunga.
Analisi dei singoli domini
Andando ad analizzare i singoli domini di sicurezza si osserva che la situazione non è omogenea su tutti gli aspetti. Per la verifica dell’identità, infatti, c’è una forte sensibilità e gli intervistati si sono rivelati per il 42.8% già in fase matura. Anche sulla sicurezza dei dispositivi gli le organizzazioni si sono dimostrate sensibili e i risultati sono simili al caso precedente con il 31.5% in fase matura. Questi due primi indici insieme potrebbero essere interpretati come un segnale che iniziative e progetti stanno andando di pari passo.
Il discorso inizia però a cambiare passando all’infrastruttura di rete. Qui, infatti, più del 70% degli intervistati si colloca nelle due fasce centrali, con solo il 18.6% in fase matura. La situazione peggiora se andiamo a vedere le applicazioni, dove ben il 50% degli intervistati pare essere ancora nelle fasi iniziali. Questa distribuzione può essere letta come il fatto che spesso ci si concentra soo sulla velocità di deployment per arrivare velocemente sul mercato a scapito della sicurezza. Diventa quindi apparente la necessità di sviluppare una cultura di security by design.
Passando all’ultimo dominio, quello dei dati, si osserva un distribuzione omogenea tra i quattro gruppi. Questo dovrebbe farci riflettere perché, in un momento storico in cui i dati rappresentano un vantaggio competitivo per le aziende, vuol dire che la situazione non è ancora adeguata alle necessità.
La situazione italiana
La situazione italiana, purtroppo (anche se pochi si sorprenderanno) è un po’ indietro rispetto a quella globale su alcuni aspetti.
Nel nostro Paese l’indagine è stata svolta intervistando 200 referenti di cui però solo il 37% si sono dichiarati allocati a tempo pieno su aspetti di sicurezza. Le 200 organizzazioni coinvolte coprivano sia PMI che grandi realtà; il 63% di loro, infatti, ha dichiarato di avere più di 250 dipendenti.
Mettendo la situazione italiana a confronto con quella globale, nel nostro Paese solo il 7% delle organizzazioni hanno uno stato maturo contro il 15% visto prima. Nonostante questo, il 94% degli intervistati sta pianificando investimenti ed evoluzioni in ambito sicurezza e l’87% conta di aumentare il budget almeno del 10% nei prossimi 12 mesi. Questi ultimi due dati, contrariamente al primo, sono allineati al trend globale.
In Italia, il 60% delle organizzazioni è stata soggetta a una violazione di sicurezza negli ultimi 12 mesi. Inoltre, il 75% degli intervistati ha reputato probabile che la produttività si fermi a causa di un problema di sicurezza nei prossimi 12/24 mesi. Tuttavia, il 68% si è anche detto confidente di riuscire a risolvere il problema grazie alla sua resilienza. Queste percentuali sono tutte allineate con i valori globali, seppur di qualche punto più basse. A livello mondiale, i valori sono rispettivamente 60%, 82% e 80%.
L’aspetto su cui, invece, sembra che l’Italia si stia difendendo bene è sulla richiesta di figure professionali specifiche. Solo il 23% degli intervistati lo percepisce come un problema contro il 46% a livello globale.
Cosa si può fare pre migliorare la situazione?
Per migliorare i valori del Cybersecurity Readiness Index, Cisco punta il dito verso nuovi modelli di sicurezza e la formazione.
Per quanto riguarda i modelli di sicurezza, occorre, secondo la multinazionale, passare da un insieme di soluzioni puntuali, cosiddette “a silos”, a un approccio molto più integrato. Il passaggio da prevenzione e individuazione a reazione e recupero dovrebbe avvenire in maniera quasi istantanea.
Dal punto di vista della formazione, invece, i laureati coprono oggi il 20% più in alto della scala di competenze. Tuttavia, c’è anche la necessità di coprire i livelli più bassi; che possono essere di forte interesse per i diplomati e per gli occupati in cerca di riqualificazione. Sono quindi auspicabili una formazione con una barriera di ingresso più bassa e una diversificare sui profili. Questo perché non servono solo esperti informatici, ma anche figure; come, ad esempio, avvocati specializzati.
Per affrontare questa necessità, Cisco è già all’opera. Da una parte con la sua academy, che ora offre certificazioni anche per profili entry-level. Dall’altra con il Master in Cyber Risk organizzato in collaborazione con l’Università Bocconi e con il Politecnico di Milano.