Le società di servizi finanziari sono da tempo un obiettivo per i criminali informatici. Non senza una buona ragione, dal momento che oltre a lavorare con il denaro, le società finanziarie gestiscono una grand mole di dati sensibili dei clienti che i criminali utilizzano in vari schemi di frode o svendono sui bazar del dark web. Secondo il report 2020 di Verizon sulle indagini sulla violazione dei dati, solo nell’ultimo anno il settore finanziario ha subito più di 1.500 incidenti, con 448 divulgazioni di dati confermate.
Oltre alle minacce di lunga data, la maggior parte delle aziende ha recentemente dovuto fare i conti con la rapida transizione al lavoro da remoto. Il cambiamento è avvenuto con un preavviso estremamente breve, lasciando alle aziende poco tempo per implementare misure di sicurezza informatica adeguate o per preparare i dipendenti alle minacce informatiche incombenti. E mentre la pandemia alla fine si attenuerà, il lavoro a distanza è destinato a rimanere, aggiungendosi all’elenco delle sfide che le aziende devono affrontare quando preparano i loro piani e le politiche di sicurezza informatica. Questo è qualcosa con cui spesso lottano già a causa di vari fattori: ne abbiamo raccolti cinque:
Talent gap
Mentre molte aziende possono essere alla ricerca di professionisti della sicurezza informatica esperti o emergenti per aiutarli a stabilire un perimetro difensivo contro varie minacce, comunque non ce ne sono abbastanza . Infatti, sebbene il divario tra la forza lavoro e la sicurezza informatica si sia ridotto per la prima volta da anni, c’è ancora una carenza globale di 3,12 milioni di lavoratori. In realtà, per colmare il deficit globale di talenti, i livelli di occupazione dovrebbero crescere del 41% negli Stati Uniti e dell’89% nel mondo. Quindi, per attirare le menti migliori e più brillanti della sicurezza informatica, le aziende dovranno offrire stipendi competitivi e opportunità di lavoro soddisfacenti.
Budget insufficienti
Un’area chiave che impedisce alle aziende di affrontare frontalmente le minacce informatiche è che hanno budget insufficienti assegnati alla sicurezza informatica. Secondo un sondaggio condotto dalla società di consulenza Ernst and Young, l’87% delle organizzazioni intervistate ha affermato di non disporre di un budget sufficiente per raggiungere i livelli di sicurezza informatica e resilienza a cui mirava. La mancanza di risorse significa che le aziende non possono assumere abbastanza talenti di sicurezza informatica o soluzioni di cui hanno bisogno per essere resilienti quando affrontano varie minacce informatiche.
Sopravvalutare la propria sicurezza informatica
Un errore comune che le aziende commettono è sovrastimare quanto siano buone le loro misure di sicurezza informatica. Sebbene possano credere di essere in cima alle cose, le aziende potrebbero non avere in atto le migliori politiche di gestione delle vulnerabilità. Un buon esempio, ma allo stesso tempo sfortunato, è la vulnerabilità BlueKeep presente in Windows. La patch è stata rilasciata a maggio 2019, con Microsoft che invitava tutti a eseguire la patch immediatamente; un mese dopo, la National Security Agency ha emesso il proprio avviso, ma a luglio c’erano ancora più di 805.000 macchine suscettibili alla falla di sicurezza ed è culminata con i primi attacchi BlueKeep a novembre. Inutile dire che riparare una vulnerabilità così grave non dovrebbe in nessun caso richiedere sei mesi.
Mancanza di formazione sulla consapevolezza
Un altro evento comune che mina la sicurezza informatica di un’azienda è che i dipendenti non ricevono una formazione sufficiente sulla consapevolezza della sicurezza informatica. Probabilmente i rischi che i dipendenti vengano indotti a scaricare malware o a separarsi dalle proprie credenziali aziendali sono stati amplificati a causa del passaggio al lavoro remoto indotto dal COVID-19. Secondo uno studio condotto dal Ponemon Institute, sebbene le aziende abbiano registrato un’ondata di attacchi informatici durante la pandemia (compresi attacchi di phishing e ingegneria sociale), il 24% degli intervistati ritiene che le proprie organizzazioni non abbiano fornito una formazione sufficiente sui rischi associati al lavoro a distanza. In modo preoccupante, lo studio ha anche scoperto che oltre la metà delle aziende non disponeva affatto di politiche di sicurezza per i dipendenti in smartworking remoti.
Sottovalutare il valore della sicurezza informatica
Alcune organizzazioni sottovalutano il valore della sicurezza informatica per la loro attività e scelgono invece di investire in altri aspetti che ritengono più utili, come il finanziamento di espansioni o lo sviluppo di nuovi prodotti. Potrebbero sostenere che i costi superano i benefici, come il costo delle misure di sicurezza informatica che superano le potenziali perdite dovute a una violazione dei dati. Tuttavia, mentre le potenziali multe e perdite potrebbero essere inferiori a breve termine, il danno alla reputazione potrebbe portare a maggiori ricadute, inclusa la perdita della fiducia dei clienti, che colpirebbe i flussi di entrate. In alternativa, in caso di successo, i criminali informatici potrebbero ottenere l’accesso alla proprietà intellettuale che potrebbero vendere insieme ai dati dei clienti sul dark web. Pertanto, la sicurezza informatica non dovrebbe essere un ripensamento, poiché serve a proteggere sia l’azienda che i suoi clienti.
Conclusione
Qualsiasi combinazione dei suddetti fattori potrebbe rappresentare una tempesta perfetta per la maggior parte delle organizzazioni di fronte a un attacco informatico. L’aspetto positivo, è che le aziende hanno iniziato a prendere sul serio i problemi di sicurezza informatica ai massimi livelli. La società di consulenza gestionale globale McKinsey ha rilevato che il 95% dei comitati del consiglio che hanno intervistato afferma di discutere di rischi informatici e rischi tecnologici almeno quattro volte all’anno. Vale la pena notare, tuttavia, che la creazione di consapevolezza nel top management deve andare di pari passo con l’investimento di somme adeguate in soluzioni di sicurezza informatica e la formazione del personale secondo i migliori standard possibili.