Un’incerta strategia di sicurezza mette a rischio tutta la sicurezza aziendale

AziendeSicurezza
1 10 Non ci sono commenti

Più alta la posizione di responsabilità in azienda maggiore è l’incertezza riguardo alla gravità di una potenziale minaccia. Che fare?

Messe a confronto con l’alto livello di cyber attacchi molte PMI stanno potenzialmente mettendo a rischio la loro organizzazione perché non sanno a che punto di protezione stanno riguardo alle minacce IT più complesse. Non essere in grado di assumere con le adeguate priorità una protezione contro gli attacchi mette a rischio l’intera catena della sicurezza . Tuttavia sono proprio i dirigenti più esperti che presiedono alle attività di business dell’azienda a trascurare questo problema. Questa almeno è la presa di posizione che deriva di uno studio del noto centro di ricerche sulla sicurezza Ponemon Institute.

Il Rischio di una incerta strategia di sicurezza (The Risk of an Uncertain Security Strategy )– così si intitola il lavoro – riporta l’opinione di duemila personaggi mondiali . Ne è risultato che il 59 per cento non considera i cyber attacchi come un qualcosa che possa mettere a rischio le attività in cui è impegnata la loro azienda. Ma questo dato si confronta con quello dei costi che queste PMI stesse hanno indicato come derivanti da incidenti e blocchi pari a oltre 1,6 milioni di dollari in un solo anno.

Gerhard Eschelbeck, Chief Technology Officer di  Sophos
Gerhard Eschelbeck, Chief Technology Officer di Sophos

La ricerca , sponsorizzata da Sophos, va ancora più in là: più è alta la posizione di responsabilità in azienda maggiore è l’incertezza riguardo alla gravità di una potenziale minaccia. Esprimendo la sua opinione in merito, Gerhard Eschelbeck, Chief Technology Officer di Sophos , si dice preoccupato che a fronte di attacchi che aumentano ogni giorno “ questa ricerca indica come molte PMI non valutino i pericoli e le perdite potenziali che devono affrontare se non adottano una posizione solida sulla sicurezza IT”. E aggiunge : “ Nelle PMI il CIO o non esiste o è l’unico che si occupi dell’IT aziendale e deve gestire molteplici e complesse responsabilità collegate al business. Ma queste figure uniche di esperto IT non possono fare tutto da sole e ora sono anche alle prese con dipendenti che richiedono accesso ad applicazioni , sistemi e documenti che hanno un’importanza critica per l’azienda. E lo vogliono fare da un gamma molto vasta di dispositivi mobili. Ma su questo sembra che le la sicurezza non venga presa per nulla in considerazione”.

Per di più in molte PMI non esiste una figura aziendale responsabile per la sicurezza IT. La ricerca propone due livelli di analisi. Il primo tocca le inerzie che bloccano l’adozione stessa di un posizione forte in campo sicurezza. E il secondo prende di mira l’incertezza che circonda il fenomeno stesso del Bring Your Own Device ( BYOD) e soprattutto l’adozione del cloud computing.

Chi  guida la sicurezza in azienda?
Chi guida la sicurezza in azienda?

Tre le sfide principali che bloccano l’adozione di una posizione di forza per la sicurezza : mancanza di priorità, budget insufficiente e mancanza di esperti all’interno. L’adozione di strumenti di mobilità cresce nonostante una sensazione diffusa di sicurezza diminuita. Anche il cloud cresce , ma non se ne conosce l’impatto sulla sicurezza.

BYOD e sicurezza
BYOD e sicurezza
Cloud e sicurezza
Cloud e sicurezza

In sostanza le PMI semplicemente non possono permettersi di trascurare la sicurezza IT. Senza questo è molto più facile che siano proprio l’infrastruttura IT e le nuove tecnologie a esporre ancora di più le aziende verso quegli attacchi che costano sostanziose somme di denaro. I responsabili dell’IT aziendale subiscono la pressione di implementare nuove tecnologie per rendere più efficienti le aziende e migliorare il modo di lavorare dei dipendenti, ma questo non deve far passare in secondo paino la sicurezza. E su questo aspetto anche i fornitori di prodotti e di soluzioni di sicurezza devono contribuire a rafforzare le posizioni aziendali per la sicurezza .

Il conto  dei danni
Il conto dei danni

Raccomandazioni

Da parte sua Sophos con i suoi esperti ha elaborato alcuni consigli per le PMI.
Le organizzazioni devono concentrare le risorse sul monitoraggio della loro situazione riguardo alla sicurezza al fine da prendere decisioni intelligenti e consapevoli. Mentre fanno il punto della situazione , queste devono focalizzarsi sul monitoraggio , le reportistica e la scoperta proattiva delle minacce.
-Vanno stabilite e realizzate le best practice in tema di sicurezza mobile e BYOD. La pianificazione e l’implementazione di una strategia per la mobilità devono essere pianificate con cura in modo da non aver ripercussioni sulla sicurezza globale dell’azienda.
– Ma le organizzazioni devono anche preoccuparsi di colmare la lacuna creata dalla scarsità di professionisti della sicurezza IT. Sono da considerarsi diverse modalità di liberare risorse interne come l’adozione di tecnologie cloud, il ricorso a consulenti di sicurezza e l’adozione di soluzioni facile da gestire.
– Vanno misurati i costi dei cyber attacchi, compreesa la perdita di produttività collegata al blocco dei sistemi IT aziendali. I manager di alto livello devono considerare la sicurezza IT una priorità e investire in soluzioni in grado di riportare velocemente alla normalità il business con un incremento del ROI.
– Organizzazioni di ogni settore sono sotto attacco regolarmente e regolarmente “bucate”. Una buona serie di regole è spesso semplicemente l’inizio di un’appropriata messa in sicurezza della rete aziendale. Prendere in considerazione una gestione consolidata della sicurezza per avere una quadro accurato delle minacce permette di focalizzarsi sulle aree più problematiche.

Autore: ITespresso
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore