Il Futuro della Cybersecurity – Deloitte
Deloitte pubblica il suo “Future of Cyber Survey” dopo avere intervistato oltre 500 dirigenti C-suite con responsabilità in fatto di cybersecurity all’interno di organizzazioni che fatturano almeno $ 500 milioni l’anno. Andremo ad analizzare ricapitolare alcuni ritrovamenti del sondaggio in questo blog.
Quando le organizzazioni si concentrano sulle iniziative di trasformazione digitale, si rendono conto che il cyber è entrato in ogni fase di un business, dal design prodotto, fino alla produzione e all’uso cliente. Il cyber è una responsabilità che s’allarga a tutta l’azienda e include aree come l’Internet delle cose (IoT) e il cloud. Con un budget e risorse finite, gli esecutivi c-suite cyber sentono che la loro sfida più grande sia l’integrazione delle iniziative di cyber-trasformazione. L’abilità di applicare un alto livello di cyber strategia e sicurezza oltre a prendersi cura della gestione giornaliera sarà probabilmente gravoso anche sui team di cyber-sicurezza più competenti.
CSO e CIO hanno trovato che la cyber-trasformazioni sia la sfida più grande alla gestione della cyber-sicurezza lungo tutta l’infrastruttura Enterprise, nel 35% e 34% dei casi rispettivamente.
Le organizzazioni si concentrano su due dei cinque framework fondamentali dell’Istituto Nazionale di Standard e Tecnologie (NIST) framework – rilevare, rispondere e ripristinare — mentre la cyber-amministrazione si prende cura del terzo punto. Questo lascia indietro altre aree, come Identità e Gestione Accessi.
Deloitte ha inoltre riscontrato che i budget per la cybersecurity vengono spalmati in maniera omogenea su tutte le aree, presumibilmente per mitigare i rischi. Con il 98% degli intervistati che segnala che i budget per la cyber-trasformazione sono inferiori a 10%. Questi sono budget che verrebbero realizzati su progetti come migrazione su cloud, implementazione di software-as-a-service (SaaS), analitica e apprendimento macchina (ML). Questo rivela un gap nell’abilità organizzativa di soddisfare la cyber-richiesta.
Solo il 4% dei dirigenti C-Level di cybersecurity afferma che la cybersecurity si trova in programma una volta al mese nelle riunioni del consiglio di amministrazione. Il 49% afferma che si trova in programma almeno trimestralmente.
I consigli dovrebbero considerare una miglior amalgamazione delle iniziative di cybersecurity nei programmi assieme a indicatori di performance chiave per misurare il successo.
According secondo Deloitte:
“A fine di guidare un’esecuzione efficace di un programma di cyber-rischio, il management dirigenziale deve strutturare il team leadership per la cybersecurity per guidare la comunicazione e l’implementazione della sicurezza in tutta l’organizzazione e avere sia l’autorità che la competenza per farlo. Ciò viene ottenuto tipicamente al meglio quando la cyber-funzione viene rappresentata nella C-suite in modo tale che l’organizzazione a livello più ampio possa comprendere meglio la priorità e l’importanza di adottare o creare un’impresa cyber-sicura.”
È importante assicurarsi che la funzionalità IT abbia un ruolo abbastanza senior per guidare in maniera sicura le cyber-iniziative con linea di visione su strategia e operazioni critiche atte alla cyber-trasformazione nell’ambito dell’organizzazione. Il ruolo di CISO ha il potere di fare proprio questo all’interno di un’organizzazione, ma solo il 4% degli intervistati ha affermato che un CISO siede nel consiglio.
Il 32% dei convenuti afferma che il CISO fa rapporto al CEO. Il 19% afferma che i CISO rispondono al CIO.
Il cyber spesso rimane incastrato sotto la IT e potrebbe anche fare rapporto al CIO. La IT Security viene equiparata al cyber ma spesso non si tratta della stessa funzione. Questo significa che il budget cyber spesso è compreso all’interno del budget IT. questo potrebbe essere il motivo per cui vediamo come risultato che il cyber non viene considerato spesso una priorità. I CISO vengono lasciati con l’inabilità di modellare una strategia e deviare la priorità.
Il 50% dei CIO afferma che la funzione delocalizzata più comunemente rispetto al cyber sono le operazioni di sicurezza, il 48% dei o CISO ha scelto un rilevamento minacce interno.
Le partnership sono importanti perché le iniziative cyber abbiano successo ma le decisioni sbagliate e i fallimenti di parti terze possono essere costosi. D’altra parte, anche mantenere talune funzioni in-house può rivelarsi costoso. Identità e Gestione Accessi, ad esempio, sono le aree in cui solo il 12% dei convenuti afferma di usare l’outsourcing ma prove suggeriscono che l’outsourcing potrebbe fare enormemente risparmiare tempo e costi di sviluppo.
Il 48% degli intervistati afferma che la sfida più grande ai rischi di sicurezza applicativi è una “mancanza di struttura organizzativa appropriata per abilitare l’integrazione della sicurezza nel ciclo vitale dello sviluppo applicativo”.
Deloitte afferma:
“Mano a mano che il trend DevSecOps guadagna inerzia, sempre più aziende con ottima probabilità renderanno threat modeling, risk assessment, e security-task automation componenti fondamentali delle iniziative di sviluppo prodotto, dall’ideazione allitterazione, al lancio, alle operazioni. La DevSecOps fondamentalmente trasforma la gestione cyber e del rischio da attività compliance-based— tipicamente intraprese più tardi all’interno del ciclo di vita di sviluppo — in un mindset strutturale essenziale lungo tutto il viaggio del prodotto.”
La gestione identità privilegiata/accessi privilegiati (PAM) è stata classificata come priorità top per le iniziative di sicurezza identità, seguita da autenticazione avanzata, inclusa autenticazione multi-fattore (MFA) e autenticazione basata sui rischi (RBA).
L’importo speso su Identità e Gestione Accessi viene proiettato per incrementare misure di sicurezza più velocemente di altre. Questa è la base dell’economia digitale e viene riconosciuto come fattore importante nella posizione di sicurezza.
Deloitte afferma:
“È anche qui che deve verificarsi un cambio organizzativo — nell’esperienza del consumatore. L’organizzazione non può più relegare la gestione delle identità del consumatore esclusivamente a marketing e alle organizzazioni di vendita; l’organizzazione di sicurezza dovrebbe anch’essa partecipare ai dati dei consumatori e ai dati di parti terze, all’accesso e alla conformità.”
il 35% degli intervistati ha classificato l’integrità dati come cyber minaccia più allarmante.
Gli ambienti di oggi coinvolgono frotte di dati e in quanto tali, le organizzazioni devono dare priorità ai dati più sensibili da mettere al sicuro. Più dati ci sono, più un cyber criminale vorrà trovare un punto debole e sfruttarlo. Il 90% delle organizzazioni ha perfino subito divulgazioni di dati sensibili nell’ambito di un ambiente produttivo nel corso dell’ultimo anno.
Che Cosa Possiamo Imparare Da Questo?
Certamente, se state pensando di avviare una nuova organizzazione, avete l’opportunità di “far crescere una cultura cyber-minded e sicura tramite un approccio al design con framework importato sul cyber rischio sin dall’inizio”. Per le organizzazioni già esistenti, il management dirigenziale dovrà considerare come ottenere dei risultati business ripensando le strategie per il cyber rischio.
Le organizzazioni stanno già lavorando duramente per soddisfare le esigenze di un futuro in cui il cyber è dappertutto, ma il rapporto mostra anche che le organizzazioni non sono ancora pronte per quello che arriverà e potrebbero dover ripensare alla propria strategia. Spostarsi dal focus sui problemi IT per concentrarsi sul cambio culturale potrebbe essere l’unico modo per tenere il ritmo e far traslare la responsabilità del cyber da una sezione dell’organizzazione all’intera organizzazione.