Cyber Security: dal report della Mckinsey un monito alle aziende

cyber security consorzio nazionale sicurezza

Cyber Security: da Mckinsey un monito alle aziende

È necessario un nuovo posizionamento di fronte al problema per trovare soluzioni efficaci.

Solo questione di tempo. Subire un cyber attacco è ormai quasi una certezza purtroppo e per lo più è solo questione di tempo. A lanciare il monito, un recente report a firma di Thomas Poppensieker e Rolf Riemenschnitter, prodotto dalla società internazionale di consulenza McKinsey, report che ha studiato le strategie di alcuni dei principali team di cyber sicurezza al mondo presso aziende con attività a livello globale, sottolineando punti di forza e di debolezza dei diversi sistemi.

Per essere pronti alla sfida di una connettività onnicomprensiva, i manager hanno bisogno non solo delle più avanzate soluzioni di sicurezza informatica, ma soprattutto di adottare un nuovo approccio più adattivo, completo e collaborativo al cyber risk, un cambio di postura non solo teorico e culturale, ma che si traduca anche in azioni concrete.

Con questa finalità è necessario aggiornare spesso practice e soluzioni, ottimizzando le strutture e i processi di business continuity e di gestione delle crisi.

Una governance completa e collaborativa

Non si tratta solo di un problema ICT; il cyber risk deve essere trattato come un problema di gestione del rischio, come accade nella maggior parte delle organizzazioni.

Le aziende devono combattere il cyber risk in un contesto aziendale, perché i tecnici non possono risolvere un problema senza comprendere i requisiti commerciali e organizzativi sottostanti. Le compagnie devono poi cercare e annullare il cyber risk su più livelli – preferibilmente sfruttando strumenti automatizzati che possono definire le priorità da affrontare -, perché dati, infrastrutture, applicazioni e persone sono esposti a diversi tipi e gradi di minacce.

Inoltre il cyber risk richiede una governance completa e collaborativa, che si abbandoni del tutto la tradizionale distinzione tra sicurezza fisica e sicurezza delle informazioni che persiste ancora in diverse imprese.

Ottimizzare le risorse

Le imprese che seguono questi criteri, si legge nel report della McKinsey, tendono ad essere molto più blindate alla maggior parte degli attacchi rispetto ai loro competitor.

Il nuovo approccio è anche funzionale alla ottimizzazione delle risorse e dei fondi per la sicurezza informatica. Il semplice riorientamento degli investimenti in attività veramente cruciali può portare fino a un taglio del 20% dei costi del settore.

“Nella nostra esperienza – scrivono Poppensieker e Riemenschnitter – fino al 50% dei sistemi di un’azienda non sono critici dal punto di vista della sicurezza informatica”. A ciò va aggiunto che “il costo di implementazione di una determinata soluzione di sicurezza può variare di cinque volte rispetto a società comparabili, il che suggerisce che molte aziende stanno perdendo notevoli rendimenti”.

Altri vantaggi includono meno interruzioni delle operazioni, che spesso le iniziative di cyber security comportano. Coinvolgendo gli imprenditori fin dall’inizio, le compagnie possono accelerare significativamente la progettazione e l’implementazione della loro architettura di cyber security.

Garantire la fault tolerance e il monitoraggio continuo

Sono ormai noti i rischi di cyber security per tutti i tipi di sistemi elettronici. Ciò significa dover essere in grado di gestire il rischio di attacchi, gli attacchi stessi, e le loro conseguenze. Ciò è ancora più vero per i sistemi di protezione fisica, dove il rischio legato alla cyber security è grave, in quanto può comportare danni a persone o economici. Su questo fronte il CNS (Consorzio Nazionale Sicurezza) è da sempre impegnato su quelle che sono le due principali azioni da intraprendere: per prima cosa occorre che i sistemi, almeno i futuri, siano concepiti tenendo conto dei rischi di sicurezza; il security by design deve essere un must: non possono essere realizzati sistemi per i quali la sicurezza non sia considerata un requisito base; e secondo punto, bisogna considerare che anche se il mancato funzionamento di un sistema è dovuto ad un cyber-attack, l’effetto finale è quello di un fallimento e, quindi, dell’indisponibilità del sistema; occorre quindi avere sempre meccanismi per garantire la fault tolerance, l’availability, e che monitorino il sistema da proteggere per rilevare attacchi e malfunzionamenti.

Fonte: askanews.it 

0 Comments