Cinque motivi per cui le società finanziarie fanno fatica a implementare la sicurezza informatica
Perché molte aziende stentano a stare al passo con l’evoluzione del panorama delle minacce e a gestire efficacemente i rischi informatici?
Di Fabio Buccigrossi, Country Manager di ESET Italia
Le società di servizi finanziari sono state a lungo uno dei bersagli preferiti dei criminali informatici.
Non senza una buona ragione, dal momento che oltre a lavorare con il denaro queste società gestiscono una miriade di dati sensibili dei clienti che gli hacker utilizzano per alcuni tipi di frode o rivendono nel dark web.
Secondo il Report sulle indagini sulle violazioni dei dati 2020 di Verizon solo nell’ultimo anno il settore finanziario ha subito più di 1.500 incidenti, con 448 violazioni di dati.
Oltre alle violazioni classiche, la maggior parte delle aziende ha dovuto fare i conti con il rapido passaggio verso il lavoro a distanza.
Il cambiamento è avvenuto con un brevissimo preavviso, lasciando alle aziende poco tempo per implementare adeguate misure di sicurezza o per preparare i dipendenti a minacce informatiche incombenti.
E mentre la pandemia prima o poi si attenuerà, il lavoro a distanza resterà, aggiungendosi all’elenco delle sfide che le aziende devono affrontare nelle proprie politiche di sicurezza informatica. Ne abbiamo identificate cinque
Gap dei talenti
Anche se aumenta il numero delle aziende alla continua ricerca di professionisti di cybersecurity esperti o emergenti per inserirli nei loro team e impostare una strategia difensiva contro le varie minacce, in realtà restano comunque una minoranza. Infatti, sebbene negli ultimi anni nella cybersecurity il gap tra domanda e offerta si sia per la prima volta ridotto, c’è ancora una carenza a livello globale di 3,12 milioni di specialisti. In realtà, per colmare questo deficit di talenti, i livelli di occupazione dovrebbero crescere del 41% nei soli Stati Uniti e dell’89% in tutto il mondo. Le aziende per attirare le menti più brillanti in tema cybersecurity dovranno offrire stipendi competitivi e opportunità di lavoro allettanti.
Budget insufficienti
Un fattore chiave che impedisce alle aziende di affrontare direttamente le minacce informatiche è che non dispongono di budget sufficienti destinati alla cybersecurity. Secondo un sondaggio condotto dalla società di consulenza Ernst and Young, l’87% delle aziende intervistate ha dichiarato di non avere un budget sufficiente per raggiungere i livelli di sicurezza informatica e resilienza a cui miravano. La mancanza di risorse significa che le aziende non possono assumere le figure necessarie per la sicurezza e di conseguenza applicare le misure tecniche di cui hanno bisogno per essere resilienti quando affrontano diverse minacce informatiche.
Sopravvalutare la propria cybersecurity
Un errore comune che le aziende commettono è quello di sopravvalutare l’efficacia delle proprie misure di sicurezza informatica. Anche se ritengono di avere tutto sotto controllo le aziende potrebbero non aver attuato le migliori policy di gestione delle patch di vulnerabilità. Un buon esempio, ma allo stesso tempo sfortunato, è la vulnerabilità BlueKeep presente in Windows. La patch è stata pubblicata a maggio 2019, con Microsoft che ha esortato tutti ad applicarla immediatamente; un mese dopo, la National Security Agency ha diramato il proprio alert, ma a luglio c’erano ancora più di 805mila macchine non aggiornate e tutto ciò è culminato con i primi attacchi BlueKeep nel novembre dello stesso anno. Va da sé che l’applicazione di patch a una vulnerabilità così grave, non dovrebbe in nessun caso richiedere sei mesi per essere risolta.
Carenza di training sulla sicurezza
Un altro elemento comune che mina la sicurezza informatica di un’azienda è legato al fatto che i dipendenti non ricevono un’adeguata formazione in tema cybersecurity. Probabilmente i rischi che i dipendenti scarichino del malware o che le loro credenziali aziendali vengano esposte sono stati amplificati a causa del passaggio al lavoro da remoto indotto dalla pandemia. Secondo uno studio condotto dal Ponemon Institute, nonostante le aziende abbiano registrato un’impennata degli attacchi informatici durante l’emergenza sanitaria (inclusi attacchi di phishing e social engineering), il 24% degli intervistati ritiene che le loro aziende non abbiano fornito una sufficiente formazione sui rischi associati al lavoro a distanza. È preoccupante che lo studio abbia rivelato che oltre la metà delle aziende non aveva alcuna policy di sicurezza volta a coprire le esigenze dei dipendenti che lavoravano in smart working.
Sottovalutare l’importanza della cybersecurity
Alcune aziende trascurano l’importanza della sicurezza informatica e scelgono invece di investire in altri aspetti che ritengono più utili, come i finanziamenti per le espansioni o lo sviluppo di nuovi prodotti e servizi. Potrebbero sostenere che gli investimenti necessari superano i benefici, come il costo delle misure di sicurezza informatica rispetto alle eventuali perdite derivanti da una violazione dei dati. Tuttavia, mentre i potenziali costi e perdite potrebbero risultare inferiori nel breve termine, il danno reputazionale potrebbe portare a ricadute molto più gravi, tra cui la perdita della fiducia da parte dei propri clienti, che colpirebbe il business in futuro. In alternativa, in caso di successo, i criminali informatici potrebbero accedere alla proprietà intellettuale col rischio che questa sia poi rivenduta insieme ai dati dei clienti nel dark web. Pertanto, la sicurezza informatica non dovrebbe essere un optional, poiché serve a proteggere sia l’azienda che i propri clienti.
La tempesta perfetta
Qualsiasi combinazione dei suddetti fattori potrebbe provocare una tempesta perfetta nella maggior parte delle aziende di fronte a un attacco informatico. L’aspetto positivo è che le società di servizi finanziari hanno iniziato a prendere sul serio il tema della sicurezza informatica ai massimi livelli. La società di consulenza manageriale McKinsey ha rivelato che il 95% del campione dei consigli di amministrazione dichiara di discutere di rischi informatici e tecnologici almeno quattro volte l’anno. Vale la pena notare, tuttavia, che la sensibilizzazione dei vertici deve andare di pari passo con l’investimento di somme adeguate in soluzioni di cybersecurity e in formazione del personale secondo i migliori standard possibili.
