RSA, la Security Division di EMC, ha pubblicato nei giorni scorsi un nuovo report che evidenzia come le aziende che investono in tecnologie di Detection & Response, piuttosto che su quelle basate su soluzioni perimetrali, siano più reattive quando devono difendersi da attacchi cyber. Il secondo report annuale RSA Cybersecurity Poverty Index, che raccoglie i risultati di un sondaggio condotto su un panel di 878 intervistati e più di 24 aziende in 81 Paesi, ha coinvolto più del doppio del numero di partecipanti rispetto all’anno scorso, e ha offerto loro la possibilità di auto-valutare il livello di maturità dei propri programmi di Cybersecurity, utilizzando come criterio di comparazione il NIST Cybersecurity Framework (CSF).

Anche quest’anno la ricerca dimostra come il 75% degli intervistati sia sensibilmente esposto agli incidenti di Cybersecurity e come le capacità di Incident Response (IR) non sembrino particolarmente sviluppate. Addirittura quasi la metà delle organizzazioni dichiara di volerle acquisire solo in seguito al verificarsi di violazioni della sicurezza o di incidenti. L’indagine evidenzia inoltre come la maggior parte delle organizzazioni continui ad avere forti difficoltà nel migliorare l’area della sicurezza informatica, a causa di una scarsa comprensione dell’influenza e dell’impatto dei Cyber-Risk sulle proprie attività.

Non sono poche poi le aziende che hanno posticipato gli investimenti nello sviluppo della propria Cybersecurity a quando si sono verificati incidenti o violazioni della sicurezza. Per altro, le aziende che prediligono un approccio di Perimeter-Defense risultano in forte difficoltà nell’identificare potenziali minacce, con il rischio di esporre pubblicamente ed in modo critico i propri asset principali.

il 45% degli intervistati ammette difficoltà nel catalogare e nel saper valutare i rischi

Rispetto all’indagine del 2015 si nota comunque un consistente aumento delle organizzazioni dotate di programmi di cybersecurity maturi. La percentuale delle organizzazioni classificate nella categoria advantaged capabilities è infatti passata dal 4.9% al 7.4%, anche se la percezione generale che le organizzazioni hanno della loro capacità di affrontare rischi legati alla sicurezza informatica non è positiva: il 75% degli intervistati dichiara infatti che la propria organizzazione è esposta ai rischi.

L’indagine rileva inoltre alcune criticità da parte delle aziende a muoversi proattivamente per rafforzare la propria Cybersecurity e a giudicare correttamente la propria propensione al rischio. In generale il 45% degli intervistati ammette difficoltà nel catalogare e nel saper valutare i rischi, con solo il 24% che si dichiara maturo al riguardo. L’incapacità di quantificare la propria propensione ai Cyber Risk rende tra l’altro difficile l’assegnazione di priorità e di investimenti, fondamentali per migliorare la propria sicurezza.

Pubblica Amministrazione e Energy sono i settori nei quali gli operatori intervistati dichiarano di avere minori capacità: solo il 18% ritiene di avere capacità sviluppate o avanzate. Nel settore aerospaziale e difesa questa percentuale sale al 39%, in quello finanziario si attesta al 26%, in calo rispetto allo scorso anno (33%). Guardando invece le aree geografiche, le organizzazioni statunitensi si posizionano dietro a EMEA e APJ (Asia-Pacifico-Giappone) per quanto riguarda il loro livello di maturità in cybersecurity; in EMEA, il 29% delle organizzazioni presenta strategie sviluppate o avanzate, mentre la percentuale scende al 26% in APJ e al 23% negli Stati Uniti.