La crescente complessità nel lavoro dei responsabili aziendali di cyber security e le difficoltà nel tenere il passo con l’evoluzione e l’incidenza delle minacce, può portare i decisori C-level verso scelte di esternalizzazione delle attività di sicurezza informatica che portano all’adozione di servizi di cyber security as a service.
In aggiunta, la crescente adozione di servizi di tipo Managed Security è correlata alla complessità del moderno ambiente IT aziendale che spesso è caratterizzato da servizi cloud, IoT che sommati al lavoro da remoto scatenato dalla pandemia, determina una superficie di attacco aumentata da tenere sotto controllo.
Quando si tratta di esternalizzare la sicurezza informatica, la decisione sulla completa o parziale adozione richiede un esame di alto livello del profilo di rischio di un’organizzazione, della sua tolleranza al rischio e della sua capacità attuale e futura di soddisfare i requisiti di sicurezza.
Pertanto, ogni organizzazione deve trarre le proprie conclusioni su ciò che dovrebbe esternalizzare o mantenere internamente. Ma un fatto è certo: rimandare una preparazione alle sfide della cyber security non è più possibile, anche in relazione agli obblighi normativi nazionali ed europei (Direttiva NIS, Perimentro nazionale di sicurezza cibernetica)
Indice degli argomenti
Perché occuparsi seriamente di cyber security per la propria azienda
La sicurezza informatica è la capacità di proteggere la propria organizzazione dalle minacce informatiche. L’agenzia CISA la definisce formalmente come “L’attività o il processo, l’abilità o la capacità o lo stato in base al quale i sistemi di informazione e comunicazione e le informazioni in essi contenute sono protetti e / o difesi contro danni, uso o modifica non autorizzati o sfruttamento”.
Con l’incremento dell’incidenza degli attacchi e soprattutto degli attacchi andati a segno con successo, sono ingenti i danni economici alle aziende. Secondo il report IDC, anche escludendo le violazioni importanti, le aziende di medie dimensioni, oggi, dovrebbero affrontare costi per un totale di 1,3 milioni di dollari all’anno a causa di incidenti legati alla sicurezza informatica. Questa cifra è anche una conseguenza dei fatti dell’ultimo anno trascorso.
Il 2020 infatti, a causa della pandemia, è stato un anno ancora più terribile dei precedenti. Con l’esigenza di lavorare improvvisamente in smart working le organizzazioni hanno dovuto accelerare per impostare processi di lavoro da remoto.
Il rapido aumento dell’impronta digitale non è stato seguito da un’adeguata implementazione di misure di sicurezza e questo ha causato un aumento sconsiderato delle minacce e delle azioni malevole: un vero anno oscuro, con un incremento degli attacchi cyber a livello globale pari al 12% rispetto al 2019 (fonte: Clusit).
Per Forbes, che fa un bilancio degli investimenti in Cyber security per i prossimi anni, siamo “in un mondo post-COVID-19, in cui la sicurezza informatica è fondamentale quanto l’accesso a Internet stesso“.
Dunque, l’importanza della cyber security è aumentata e sembra che si possa considerare pienamente provato quanto l’impatto dell’inazione sia maggiore del costo di implementazione della protezione proattiva.
I motivi per cui scegliere l’approccio della cyber security as a service
Quando si parla di impresa e azienda è spesso facile pensare alle grandi corporate e alle aziende di medie/grandi dimensioni che con appropriati budget possono organizzarsi per implementare processi, procedure, organizzazione e tecnologie per far fronte ai bisogni di sicurezza informatica. Tuttavia, specialmente in Italia, il “tessuto imprenditoriale” è costituito principalmente da Piccole e Medie imprese che non possono disporre di ingenti capitali e che sono particolarmente in difficoltà se non paralizzate, a causa del crescente divario di competenze in materia di sicurezza informatica.
Un’efficace sistema di sicurezza informatica di livello aziendale richiede l’impiego di personale altamente qualificato ed esperto che possa continuamente formarsi ed addestrarsi rispetto ad un panorama di minacce sempre più complesso e in evoluzione.
Non appena un’azienda mediante il suo team di security fosse capace di identificare o rilevare una vulnerabilità nei propri sistemi correlata a un potenziale incidente di sicurezza, ne spunterebbe un’altra collegata a uno 0-day che la renderebbe comunque passibile di un attacco informatico.
Identificare e rilevare le vulnerabilità e gli incidenti di sicurezza continuamente, in modo efficace ed efficiente, è fondamentale per mantenere la propria azienda al sicuro da queste minacce. Ma tutte queste capacità sembrano un’impresa giudicata fuori portata e proibitivamente costosa per molte PMI. Tanto che di fatto non sembrano ancora essere preparate.
Infatti, dopo aver subito una violazione dei dati, il 37% delle piccole imprese intervistate ha segnalato una perdita finanziaria, il 25% ha dichiarato bancarotta e il 10% ha cessato l’attività secondo uno studio condotto dalla National Cyber Security Alliance (NCSA).
In Italia i dati dell’osservatorio Cyber security & Data Protection del Politecnico di Milano evidenziano come il 40% delle grandi organizzazioni e il 49% delle PMI abbia confermato un incremento degli attacchi informatici subiti. Mentre le grandi aziende, secondo lo studio, sono in procinto di investire cumulativamente fino a 1,37 milioni di euro (un valore di circa 4-5 volte inferiore rispetto a quello dei Paesi più maturi sul fronte della cyber security), tra le PMI solo il 22% ha previsto investimenti in sicurezza per il 2021. Il 20% delle piccole e medie imprese li aveva previsti, ma ha dovuto ridurre il budget in seguito all’emergenza, infine, un terzo non ha risorse finanziarie da dedicare alla sicurezza e oltre un quarto non è interessato all’argomento.
Sempre secondo lo studio, resta una persistente scarsità organizzativa in materia di sicurezza informatica: il 41% delle grandi organizzazioni, si è dotato di un Chief Information Security Officer (CISO), il 25% ha dato queste funzioni al Chief Information Officer (CIO) mentre nel 38% dei casi analizzati non sono previste figure dedicate, capaci di riportare ai board le azioni di sicurezza implementate.
Tuttavia, una diversa opzione che le PMI potrebbero prendere in considerazione è l’outsourcing della gestione della sicurezza informatica mediante servizi di Cyber security as a service.
Questo non solo può alleviare la pressione e lo stress degli imprenditori che cercano di proteggere la loro attività pur dovendo gestire la loro attività, ma permette di ottenere molti altri vantaggi.
Cyber security as a service: i vantaggi dell’outsourcing
Un servizio di sicurezza informatica esternalizzato avrà costi di sicurezza informatica noti e prevede solitamente una stima degli SLA correlati in modo da poter valutare e decidere quali servizi siano essenziali ed economici per la propria organizzazione.
La scelta di dotare la propria azienda di servizi di cyber security as a service è primariamente guidata da motivi di costo/efficacia. Scegliere un servizio di cyber security esternalizzato permette di affrontare costi fissi o quasi fissi consentendo una certa prevedibilità nel processo di definizione del budget.
D’altra parte, chi offre questi servizi beneficia di b ed è in grado di fornire capacità di sicurezza a un prezzo inferiore di quello che costerebbe un team di sicurezza interno.
Dal punto di vista operativo la copertura 24x7x365 è una delle capacità più complesse da realizzare per una PMI, mentre rappresenta una garanzia di monitoraggio continuo della sicurezza sia per i servizi di allertamento preventivo, sia per le reportistiche sulle minacce.
Questo è fondamentale per le aziende, perché è quasi impossibile prevedere il momento preciso di un attacco informatico e quindi la preventiva e continua analisi che evidenzia segnali sospetti e indizi di pericolo permette e abilita azioni preventive di protezione più accurate e specifiche.
Chi fornisce servizi di cyber security ha un maggior livello di affidabilità su skill di security, perché gestisce meglio il turnover del personale e garantisce la continuità di competenze adeguate al livello di servizio concordato con l’organizzazione che fruisce del servizio.
Proprio in tema di competenze, l’esternalizzazione della protezione informatica a un servizio di sicurezza informatica dedicato fornisce l’accesso a esperti specializzati e certificati, continuamente aggiornati e formati su nuove tecnologie e minacce.
Con questa conoscenza, gli esperti di sicurezza informatica del provider che eroga servizi di cyber security in outsourcing, possono fornire una protezione informatica personalizzata.
Anche la continua pratica sulle minacce e gli incidenti, sebbene su settori di mercato diversi, conferisce maggiore esperienza alle risorse coinvolte e ne aumenta l’efficacia e la vision strategica, da riutilizzare per ogni nuova azienda che vi si affida.
Di fatto un’azienda che adotti la cyber security as a service è come se effettuasse un balzo di progressione verso un modello di sicurezza più maturo, perché si appoggia su un fornitore che ha già maturato skill, competenze, processi e adotta tecnologie apposite. Proprio quest’ultimo elemento, quello tecnologico, può consentire una più incisiva e migliore capacità di rilevamento e risposta alle minacce, perché il provider del servizio MDR accede set di dati più estesi e diversificati ed ha quindi una maggiore capacità di intelligence. In aggiunta, sul fronte delle normative e delle regole i fornitori di servizi di sicurezza gestiti sono necessariamente aggiornati e questo garantisce una certa correttezza nelle prassi di reporting dei data breach (eventuali) anche per l’azienda che gli affida i servizi di Cyber security esternalizzati.
Naturalmente la scelta di un fornitore in outsourcing per i servizi di cyber security as a service non solleva completamente l’azienda da alcune responsabilità, fra le quali la più importante è saper scegliere il fornitore e dotarsi di strumenti contrattuali per controllarne l’operato e il rispetto dei livelli di servizio concordati. Scegliere il fornitore appropriato è frutto di una selezione basata su criteri oggettivi, mentre controllarne l’operato è frutto di una capacità di governance che ogni azienda dovrebbe maturare.
Contributo editoriale sviluppato in collaborazione con Cyberoo.
