In tema cybersecurity, la rapidissima escalation della minaccia informatica sta mettendo sotto torchio un numero sempre maggiore di aziende. Secondo il report State of Ransomware 2022, pubblicato da Sophos, a livello globale il 66% delle organizzazioni sarebbe rimasta colpita in maniera piuttosto seria da attacchi finalizzati a generare data breach e ad ottenere il pagamento di un riscatto sempre più ingenti.
Secondo le stime sintetizzate dal report, nel corso del 2021, i cybercriminali sarebbero infatti riusciti ad ottenere una media di oltre 800mila dollari da ogni azienda colpita, ma il conto per queste ultime appare ben più salato quando si tratta di considerare tutte le spese sostenute per recuperare la piena attività, arrivando ad una media di 1,65 milioni di dollari.
Il quadro stimato, estremamente gravoso, non considera nemmeno i danni collaterali, a cominciare da quelli che inevitabilmente ricadono sulla reputazione del brand, senza contare le rivalse attivate dagli stakeholder hanno visto i propri dati oggetto di una palese violazione sui sistemi di terzi.
La situazione si sta facendo oggettivamente sempre più pesante, ogni giorno che passa e le sfide in ambitocybersecurity diventano sempre più ardue per le aziende.
Molti business non riescono a superare il contraccolpo generato dagli attacchi subiti. Inoltre, i ransomware, benché continuino a costituire la forma di attacco più diffusa, sono soltanto una delle minacce a cui i responsabili per la sicurezza informatica delle aziende devono fare quotidianamente fronte.
La maggior parte delle organizzazioni si sta attivamente interessando allacybersecurity e alla protezione da minacce così gravose come i ransomware per correre oggettivamente ai ripari, con la crescente consapevolezza di chi è rimasto direttamente vittima di un attacco o prevede di rimanere a breve coinvolta in un possibile incidente.
Questi ed altri argomenti, relativi al futuro della cybersecurity delle aziende, sono finiti sul tavolo di discussione della prima tappa del Gartner Security & Risk Management Summit, svoltosi a Sidney e Tokyo in due eventi tra giugno e luglio, sotto l’attenta regia di Richard Addiscott e Rob MCMillan, rispettivamente Senior Director Analyst e Managing Vice President di Gartner.
I lavori, svolti sulla durata di tre giorni, hanno toccato vari aspetti, cercando soprattutto di focalizzare l’attualità e il futuro prossimo, identificando i trend che animeranno l’attività dei principali attori in materia di sicurezza informatica, in ambito privato e governativo. Quanto alle azioni si è fatto riferimento al biennio 2022-23, con una previsione di effetti a breve termine, entro il 2025.
Le previsioni di Gartner sul futuro della cybersecurity: i trend e le azioni utili a rendere più sicura la propria organizzazione
Durante il keynote di apertura del Gartner Security & Risk Management Summit, i già citati Richard Addiscott e Rob McMillan hanno presentato le previsioni messe a punto dagli esperti di cybersecurity della propria corporate per supportare i leader aziendali in materia di sicurezza informatica a prendere decisioni nel modo più consapevole possibile.
Secondo Richard Addiscott:
“Non possiamo rimanere ancora alle vecchie abitudini e cercare di trattare tutto come abbiamo fatto in passato […] La maggior parte dei responsabili della sicurezza e del rischio in azienda ora riconosce che subire una grave interruzione può essere solo questione di tempo. Non possiamo controllare del tutto questo aspetto, ma possiamo sviluppare il nostro pensiero, la nostra filosofia, il nostro programma e la nostra architettura”.
In particolare, secondo le valutazioni di Gartner, emergerebbero ben otto fattori cruciali, utili ad orientare la pianificazione strategica, con altrettante azioni che il celebre analista consiglia ai responsabili della sicurezza aziendale di prendere in considerazione il più presto possibile.
1 – Leggi e normative sulla privacy
Entro il 2023 le normative che richiedono alle organizzazioni di garantire i diritti alla privacy dei consumatori interesseranno cinque miliardi di persone e oltre il 70% del prodotto interno lordo a livello globale.
La privacy diventerà un argomento sempre più stringente dal punto di vista normativo, così come la necessità di garantire la protezione dei dati.
Gartner raccomanda alle organizzazioni di tenere puntualmente traccia di tutte le metriche relative ai diritti degli utenti, in modo da identificare per tempo tutte le possibili violazioni e le inefficienze dal punto di vista operativo, onde porvi rimedio prima che possano verificarsi data breach o altri utilizzi impropri dei dati trattati.
2 – Lacybersecurity tra Cloud e lavoro ibrido: unificare l’osservabilità delle risorse IT
Sulla base di survey e analisi di mercato, Gartner stima che, entro il 2025, l’80% delle organizzazioni adotterà una strategia dicybersecurity per unificare web, servizi in cloud e accesso alle proprie applicazioni attraverso la piattaforma SSE (security service edge) di un singolo vendor.
Ormai il lavoro ibrido è da considerarsi quale una costante in evoluzione per la maggior parte delle aziende. La componente di lavoro da remoto comporta l’accessibilità ai dati da qualsiasi luogo in qualsiasi momento, e il numero di servizi e applicazioni a cui le aziende fanno affidamento nel loro percorso di trasformazione digitale è in continuo aumento. L’infrastruttura IT delle aziende è sempre più ricca di ibridazioni tra on-premise, cloud privato e multicloud pubblico.
Garantire la sicurezza ad una varietà così complessa di risorse IT comporta l’adozione di strumenti di gestione e monitoraggio capaci di unificare la visibilità di tutti gli elementi attivi, dalle applicazioni, ai server, ai dispositivi utilizzati ogni giorno dai dipendenti per connettersi e svolgere il proprio lavoro.
Le soluzioni SSE di un unico venditore consentono pertanto di ottimizzare la gestione delle risorse IT, con un livello di efficienza e sicurezza senza dubbio più agevole da ottenere rispetto all’adozione di soluzioni plurime, che andrebbero a loro volta orchestrate: integrazione più diretta di tutti i componenti, unica dashboard di gestione e mediamente meno luoghi in cui i dati vengono decriptati, ispezioni e nuovamente criptati per essere archiviati nei sistemi aziendali.
3 – Zero Trust e change management
Secondo le stime di Gartner, entro il 2025, nell’ambito delle proprie strategie dicybersecurity il 60% delle organizzazioni adotterà un approccio Zero Trust come base della propria strategia di sicurezza, ma di queste, almeno la metà non riuscirà ad apprezzarne i benefici. Situazione per certi versi paradossale, ma decisamente credibile nelle sue previsioni.
Zero Trust è innanzitutto una terminologia estremamente inflazionata nelle campagne di marketing dei vendor di servizi di sicurezza, per sintetizzare un’ampia serie di concetti, e trova ormai ampiamente riscontro anche nelle linee guida sulla sicurezza informatica pubblicate dai vari governi.
In altri termini, l’approccio Zero Trust è ormai uno standard che dovrebbe suggerire alle aziende una condotta consapevole nei confronti di una corretta igiene informatica.
Zero Trust presuppone che, anziché basarsi su una fiducia incondizionata, ci si ponga il problema di associare le dovute autorizzazioni basandosi in maniera dettagliata sulle identità e sul contesto in cui si interviene. Tale aspetto costituisce un naturale punto di forza, dal punto di vista concettuale talmente ovvio che lo comprenderebbe anche un bambino, ma comporta aspetti che vanno oltre la natura tecnologica. Ed è a questo punto che si complicano le cose.
Quando entrano in gioco questioni di carattere organizzativo si rischia di andare a sbattere contro la classica barriera al cambiamento che le aziende incontrano quando la mentalità dei propri dipendenti non è sufficientemente aperta per affrontare la trasformazione digitale dei processi in atto.
Parallelamente all’adozione di nuove tecnologie per migliorare la propria sicurezza informatica, le organizzazioni dovrebbero pertanto favorire politiche di change management, a partire da un’adeguata formazione dei dipendenti, in modo da formare quella condizione di cambiamento culturale necessaria per tradurre in effettivi benefici gli sforzi che l’azienda effettua per modernizzare la propria infrastruttura IT. In tal senso, non esistono possibili scorciatoie.
4 – Il rischio cyber dovuto a terze parti
Entro il 2025, il 60% delle organizzazioni sarà soggetto a rischi di attacchi informatici derivanti dalla condotta di soggetti terzi, coinvolti nelle supply chain che mettono in relazione più attori nel business. Tale trend è certamente già evidente, in quanto diverse realtà lamentano spesso violazioni di dati che si sono verificate a partire dalle vulnerabilità di partner, fornitori, clienti e altri stakeholder.
Secondo una ricerca svolta da Gartner, soltanto il 23% dei responsabili della sicurezza attualmente monitora in tempo reale il rischio dovuto a terze parti per comprendere la reale esposizione dei propri dati alle minacce informatiche. Le cronache quotidiane evidenziano, qualora ce ne fosse ancora il bisogno, che questa generale carenza di attenzione rischia di costare molto cara.
La crescente attenzione da parte dei consumatori e delle autorità competenti in materia di protezione dei dati dovrebbe spingere le organizzazioni ad imporre determinati standard di sicurezza informatica ai soggetti terzi con cui intendono formalizzare accordi di business, che spaziano dalla semplice collaborazione commerciale alle ipotesi di fusione o acquisizione tra più realtà.
La fiducia non basta, certe garanzie vanno inevitabilmente messe nero su bianco, affinché ogni parte in causa si assuma e sia ben cosciente delle proprie responsabilità.
5 – Normative anti-ransomware a livello nazionale
Gartner ipotizza che, entro il 2025, almeno il 30% delle nazioni cercherà di legiferare in merito ai pagamenti dei riscatti relativi agli attacchi ransomware.
Nel 2021 le nazioni che hanno preso iniziativa in tal senso non arrivavano all’1%, per cui si tratterà di uno scenario di fatto inedito a livello globale, nel tentativo di porre un freno all’azione distruttiva delle famigerate ransomware gang.
Gartner si sofferma soprattutto su un aspetto, effettivamente decisivo. La decisione di pagare o meno il riscatto sarebbe quasi sempre presa a livello di business, quasi mai dagli specialisti della sicurezza. Ciò accade per il semplice fatto che le aziende spesso latitano a livello di SOC (Security Operation Center) e ancor più spesso non dispongono di un incident response team che sappia indirizzare correttamente la condotta delle organizzazioni quando rimangono vittime di attacchi ransomware.
In altri termini, quando ci si ritrova nella morsa dei cybercriminali, si finisce per prendere decisioni sbagliate, avventate o poco consapevoli delle conseguenze a livello informatico e legale che certe azioni, come il pagamento di un riscatto, inevitabilmente comportano.
Le aziende dovrebbero pertanto investire con decisione su una corretta strategia di incident response, che includa anche gli aspetti di natura legale e normativa che puntualmente verranno implementati dalle singole nazioni.
6 – Attacchi ai sistemi OT delle infrastrutture critiche
I cybercriminali stanno intensificando gli attacchi nei confronti dei sistemi OT delle infrastrutture critiche, per prenderne il controllo e sabotarle, mettendo seriamente a rischio anche la vita delle persone. I sistemi OT sono spesso dotati di sistemi operativi e applicazioni obsolete, facilmente vulnerabili quando vengono connesse alla rete, soprattutto se non si presta attenzione nei confronti di un loro adeguato isolamento.
Tutti i soggetti coinvolti nella gestione e nella fornitura di servizi legati alle infrastrutture critiche dovrebbero pertanto investire risorse ed attenzioni per proteggere in maniera scrupolosa quelle interfacce che, se dovessero finire nel controllo di mani sbagliate, potrebbero generare episodi di estremo pericolo per le persone.
Con una presa di posizione netta, quanto condivisibile, Gartner sostiene che i leader dovrebbero preoccuparsi ben più della sicurezza delle persone e dell’ambiente rispetto ai possibili data breach, e ragionare di conseguenza.
7 – I rischi per lacybersecurity a livello globale: obiettivo resilienza
Gartner ipotizza che entro il 2025 il 70% dei CEO si preoccuperà di adottare una politica di resilienza per sopravvivere ai fattori negativi derivanti dalle dinamiche globali, come il crimine informatico, i gravi eventi metereologici, i disordini civili e le instabilità di natura politica. Tutti aspetti che vanno ben oltre la capacità di controllo delle singole organizzazioni.
In particolare, la pandemia Covid-19 ha evidenziato in maniera spietata la fragilità dei modelli di business basati sulla globalizzazione della supply chain, introducendo una seria riflessione sui caratteri di sostenibilità e resilienza, per rendere le aziende meno dipendenti dalle dinamiche a livello globale.
Ciò a fronte dell’oggettiva incapacità, da parte delle aziende, di controllare fenomeni quali i blocchi logistici e le crisi di approvvigionamento come quelle che tuttora interessano i chip elettronici, specie laddove si era sottovalutata l’esigenza di un piano B, come accaduto per l’industria automotive e in alcuni ambiti del mercato IT.
8 – Gestione del rischio informatico quale indicatore di performance
L’ultimo degli otto trend sulla cybersecurity che Gartner prospetta per le aziende nell’immediato futuro è relativo al fatto che, entro il 2026, i C-Level vedranno introdotti, direttamente nei loro contratti di assunzione di incarico, parametri relativi alla sicurezza informatica tra gli obiettivi di performance da soddisfare.
Questo aspetto sarebbe la diretta conseguenza del fatto che le organizzazioni hanno ormai preso coscienza del fatto che la cybersecurity è un fattore di business, non un argomento che può essere circoscritto ai soli ambienti IT.
Pensare di soddisfare i requisiti di sicurezza aziendale con il semplice ricorso a misure di natura tecnologica coinciderà con l’andare incontro al fallimento della propria strategia.
I leader aziendali devono pertanto assumersi in prima persona la responsabilità in fatto di sicurezza informatica, una questione che ora viene troppo spesso demandata a quelle figure specialistiche che costituiscono una risorsa fondamentale dal punto di vista tecnologico ed organizzativo, ma non dispongono dei poteri decisionali e delle competenze per valutare gli impatti complessivi a livello di business, avendo una visibilità parziale sul problema.
Tale scenario comporta l’inevitabile dialogo tra la componente tecnica e la componente manageriale dell’azienda, implicando aspetti di change management su cui le aziende dovrebbero al più presto iniziare a riflettere.
Secondo questa prospettiva, i tecnici, dal canto loro, non verranno deresponsabilizzati, ma saranno chiamati a disporre di competenze almeno basilari in materia di business aziendale, per potersi relazionare con i decisori in una situazione reciprocamente profittevole.
Ricollegandosi al concetto di responsabilità, la visione di Gartner ci appare più che mai azzeccata, soprattutto ragionando in divenire. Non bisogna infatti dimenticare che i C-Level sono figure decisive nella determinazione dei budget e delle risorse umane utili a soddisfare le esigenze di cybersecurity, per cui devono essere informate e diventare perfettamente consapevoli di cosa voglia dire garantire la sicurezza ai vari livelli dell’organizzazione. Piaccia o non piaccia, potrebbe andarne della loro carriera.
