Sustainable Cybersecurity
Cybersecurity sostenibile: l’elemento umano al centro
Whitepaper
Giugno 8, 2022
Accelera ed evolve rapidamente il cybercrime, con l’elemento umano che continua a rappresentare il vero anello debole della catena nella Cybersecurity. Secondo il “2022 Data Breach Investigations Report” di Verizon, infatti, nell’82% dei casi gli attacchi informatici sono causati più o meno direttamente da fattore umano, considerato per questo il più critico tra i fattori di rischio cyber. Per questo diventa fondamentale approcciare al tema della cybersecurity considerandola non come un prodotto, ma come un processo. La tecnologia è certamente centrale, ma accanto a questa vanno considerate le decisioni del top management, la consapevolezza e la competenza delle persone, la destinazione delle risorse (umane ed economiche) e l’adeguamento dei processi agli scenari di rischio emergenti. Ovvero va rimesso al centro del processo proprio l’elemento umano.
Quando si può associare il termine sostenibilità a cybersecurity?
La Cybersecurity diventa sostenibile se è rivolta alla riduzione del rischio cyber, minimizzando le frizioni per l’adozione delle contromisure a livello di governance, tecnologia, costi, processi e persone, comprese le competenze necessarie da acquisire, presidiare e mantenere.
“La cybersecurity può essere sostenibile (non costituendo solo un costo, ma un investimento) perché nel panorama incerto di oggi un’azienda che dimostra di aver messo in atto una strategia di cybersecurity seria ed efficace può ridurre sia la probabilità sia l’impatto di un attacco informatico, può suscitare maggiore fiducia attirando investitori e clienti, può adempiere più facilmente le nuove norme legislative in tema cyber, ad esempio la nuova direttiva NIS-2” – afferma Alfonso Fuggetta, CEO e direttore scientifico Cefriel.
Chiunque oggi può essere oggetto di un attacco informatico: la pervasività degli attacchi, infatti, è tale da colpire qualsiasi dispositivo, a prescindere dal settore lavorativo e dalla dimensione dell’azienda. Ripristinare i servizi, recuperare dati, verificare lo stato dei backup sono solo alcune delle attività necessarie dopo un attacco ransomware, il cui costo medio totale è pari a $ 1,85 milioni di dollari.
Come proteggere dati, operatività e business?
Per rispondere alle molteplici e nuove esigenze, imprese e PA devono affrontare la cybersecurity in modo strategico, considerando ogni suo aspetto. In questa prospettiva, la guida pubblicata da Cefriel aiuta a comprendere non solo i bisogni delle organizzazioni in termini di sicurezza informatica, ma introduce anche il “Sustainable Cybersecurity PlaybookTM” di Cefriel, uno strumento frutto di tecniche ed esperienze applicate con i clienti e nei progetti di ricerca.
“Agire sui rischi, andando a ridurli in modo sostenibile, significa mettere in atto una continua verifica del proprio perimetro e la rapida applicazione delle contromisure necessarie a difenderlo. Il monitoraggio continuo misura l’esposizione al rischio, mentre le risposte applicate tempestivamente rispetto alle vulnerabilità riscontrate mantengono il livello di rischio complessivo al di sotto di una certa soglia di tolleranza. La gestione dei rischi cyber, del resto, è una delle sfide che le imprese pubbliche e private devono affrontare. Il problema non è solo di natura tecnologica, ma anche umana. Diventa indispensabile, pertanto, promuovere la cultura cyber in tutte le funzioni aziendali, anche quelle che solitamente non sono coinvolte nella cybersecurity” – conclude Fuggetta.
Le organizzazioni dovrebbero, quindi, approcciare il tema della Cybersecurity con una visione d’insieme dalla quale derivare le “tattiche” migliori e non solo azioni da programmare nel breve periodo.
“Agire sui rischi, andando a ridurli in modo sostenibile, significa mettere in atto una continua verifica del proprio perimetro e la rapida applicazione delle contromisure necessarie a difenderlo. Il monitoraggio continuo misura l’esposizione al rischio, mentre le risposte applicate tempestivamente rispetto alle vulnerabilità riscontrate mantengono il livello di rischio complessivo al di sotto di una certa soglia di tolleranza. La gestione dei rischi cyber, del resto, è una delle sfide che le imprese pubbliche e private devono affrontare. Il problema non è solo di natura tecnologica, ma anche umana. Diventa indispensabile, pertanto, promuovere la cultura cyber in tutte le funzioni aziendali, anche quelle che solitamente non sono coinvolte nella cybersecurity” – conclude Fuggetta.
Le organizzazioni dovrebbero, quindi, approcciare il tema della Cybersecurity con una visione d’insieme dalla quale derivare le “tattiche” migliori e non solo azioni da programmare nel breve periodo.