Products and Services PRODUCTS & SERVICES

L’impatto della struttura organizzativa sui dati relativi alla cybersecurity

Le opinioni di 2.991 leader del settore IT/cybersecurity in 14 paesi

I professionisti della cybersecurity sono un pilastro fondamentale delle difese informatiche di un’organizzazione. Sebbene si sia scritto molto sulla carenza di personale qualificato nel campo della sicurezza informatica, ci si è concentrati molto meno su come consentire a questi professionisti di avere il massimo impatto. In breve, come prepararli al meglio per il successo.

La nostra recente analisi mira a far luce su quest’area di conoscenza, affrontando la questione: La struttura organizzativa influisce sui risultati della cybersecurity? I dati emersi si spera possano essere utili a chiunque stia valutando come organizzare una struttura di cybersecurity per ottenere i migliori risultati. Scaricate il rapporto

L’approccio

Il nostro punto di partenza è stato un sondaggio indipendente commissionato da Sophos sulle esperienze di 3.000 professionisti dell’IT/cybersecurity che lavorano in organizzazioni di medie dimensioni (tra 100 e 5.000 dipendenti) in 14 Paesi. La ricerca è stata condotta nel primo trimestre del 2023 e ha rivelato la situazione dei ransomware, dei rischi informatici e delle operazioni di sicurezza per i professionisti della sicurezza che operano in prima linea. I risultati hanno costituito la base dei report Sophos State of Ransomware 2023 e State of Cybersecurity 2023.

Lo studio ha esaminato queste esperienze di cybersecurity attraverso la lente della struttura organizzativa utilizzata. L’obiettivo era identificare se esiste una relazione tra struttura e risultati e, in caso affermativo, quale soluzione ha dato i risultati migliori.

Gli intervistati hanno selezionato uno dei seguenti modelli che meglio rappresentava la struttura delle funzioni di cybersecurity e IT nella loro organizzazione:

  • Modello 1: il team IT e quello di cybersecurity sono organizzazioni separate (n=1.212)
  • Modello 2: un team dedicato alla cybersecurity fa parte dell’organizzazione IT (n=1.529)
  • Modello 3: non esiste un team dedicato alla cybersecurity; al contrario, è il team IT a gestire la cybersecurity (n=250)

Nove intervistati non rientravano in nessuno di questi modelli e quindi sono stati esclusi dall’analisi. Sono state escluse dalla ricerca anche le organizzazioni che hanno esternalizzato completamente la propria cybersecurity, ad esempio con un MSSP.

La sintesi

L’analisi ha rivelato che le organizzazioni con un team dedicato alla cybersecurity all’interno di una squadra IT più ampia riportano i migliori risultati complessivi in termini di sicurezza informatica (modello 2) rispetto agli altri due gruppi. Al contrario, le organizzazioni in cui i team IT e di cybersecurity sono separati (modello 1) hanno riportato le esperienze complessive più negative.

Sebbene la sicurezza informatica e le operazioni IT in senso lato siano specializzazioni distinte, il relativo successo del modello 2 può essere dovuto al fatto che le discipline sono anche intrinsecamente collegate: i controlli di cybersecurity hanno spesso un impatto diretto sulle soluzioni IT, mentre l’implementazione di una buona igiene informatica, ad esempio il patching e il blocco di RDP, è spesso eseguita dal team IT.

Lo studio ha anche chiarito che se mancano le competenze e le capacità essenziali in materia di cyber sicurezza, il modo in cui si struttura il team non fa molta differenza per molti dei risultati ottenuti. Le organizzazioni che desiderano integrare ed estendere le proprie capacità interne con esperti di cybersecurity di terze parti (ad esempio, fornitori di MDR o MSSP) dovrebbero cercare partner flessibili che dimostrino la capacità di lavorare come un’estensione del più ampio team interno.

I punti salienti dell’analisi

L’analisi confronta le esperienze riportate dai tre gruppi in una serie di aree, rivelando alcuni risultati interessanti.

Causa principale degli attacchi ransomware 

È interessante notare che la causa principale degli attacchi ransomware varia a seconda della struttura organizzativa:

  • Modello 1: quasi la metà degli attacchi (47%) è iniziata con una vulnerabilità sfruttata, mentre il 24% è stato il risultato di credenziali compromesse.
  • Modello 2: le vulnerabilità sfruttate (30%) e le credenziali compromesse (32%) avevano quasi la stessa probabilità di essere la causa principale dell’attacco.
  • Modello 3: quasi la metà degli attacchi (44%) è iniziata con credenziali compromesse e solo il 16% con una vulnerabilità sfruttata.

Recupero del ransomware 

Le organizzazioni del modello 1 erano molto più propense a pagare il riscatto rispetto agli altri gruppi e hanno riportato la percentuale più bassa di utilizzo di backup per recuperare i dati criptati. Oltre a essere il gruppo più propenso a pagare il riscatto, le organizzazioni del modello 1 hanno anche riferito di aver pagato riscatti molto più alti, con un pagamento medio più che doppio rispetto a quello dei modelli 2 e 3.

Operazioni di sicurezza

Il risultato più importante di quest’area di analisi è che, mentre le organizzazioni di modello 2 ottengono i migliori risultati nella fornitura di operazioni di sicurezza, la maggior parte di esse trova difficile fornire autonomamente attività di sicurezza efficaci. In sostanza, il modo in cui si struttura il team fa poca differenza se mancano le capacità e le competenze essenziali.

Gestione quotidiana della cybersecurity

In quest’area si riscontrano molti punti in comune tra i tre gruppi e tutte le sfide sono simili. Più della metà degli intervistati in tutti e tre i modelli riferisce che le minacce informatiche sono ormai troppo avanzate perché l’organizzazione possa affrontarle in autonomia (60% modello 1; 51% modello 2; 54% modello 3).

Tutti i modelli condividono inoltre preoccupazioni simili per quanto riguarda le minacce e i rischi informatici. L’esfiltrazione dei dati e il phishing (compreso lo spear phishing) figurano tra le prime tre preoccupazioni informatiche per tutti e tre i gruppi, mentre la cattiva configurazione degli strumenti di sicurezza è il rischio più comune percepito da tutti. In sostanza, tutti hanno le stesse preoccupazioni, indipendentemente dalla struttura organizzativa.

Nota importante

Sebbene questa analisi fornisca una visione unica della correlazione tra la struttura dell’IT/cybersecurity e i risultati riportati, non esplora le ragioni alla base di questi ultimi, ovvero il nesso di causalità. Ogni organizzazione è diversa e la struttura della funzione IT/cybersecurity è una delle tante variabili che possono influire sulla propensione a ottenere buoni risultati di sicurezza, tra cui il settore industriale, il livello di competenza dei membri del team, i livelli di personale, l’età dell’organizzazione e altro ancora. Queste conoscenze dovrebbero essere utilizzate insieme ad altre considerazioni per identificare l’approccio migliore per ogni singola organizzazione.

Dettagli

Per saperne di più e vedere l’analisi completa, scaricate il rapporto.

Come detto, questa analisi si concentra sulla correlazione piuttosto che sulla causalità e sono necessarie ulteriori ricerche per comprendere le ragioni alla base di questi risultati. Di fronte alle sfide odierne della cybersecurity, qualsiasi vantaggio per i difensori è importante e ci auguriamo che questa analisi stimoli ulteriori studi su come le organizzazioni possano sfruttare la loro struttura interna per ottimizzare le loro difese.