Le organizzazioni di tutte le dimensioni dovrebbero puntare al massimo livello di maturità della sicurezza, ma l’approccio deve soddisfare i loro specifici requisiti di sicurezza.
Poiché le aziende elaborano più dati che mai, i criminali informatici stanno raddoppiando i loro sforzi per attaccarle. Un allarmante 83% delle organizzazioni subirà più di una violazione dei dati nel 2022.
Le minacce si stanno evolvendo e le frodi stanno diventando sempre più sofisticate, utilizzando strumenti come piattaforme di riunione virtuali per convincere i dipendenti a consegnare denaro o dati. Ora è il momento di riprendere sicurezza informatica passi al livello successivo, ma la dimensione dell’azienda dovrebbe influenzarne l’approccio.
La dimensione conta
Le organizzazioni più grandi hanno esigenze di sicurezza e conformità uniche e specifiche. Pertanto, la loro strategia di sicurezza informatica deve essere adattata ai loro rischi specifici. Le grandi aziende hanno più da perdere, poiché gli hack riusciti portano enormi profitti ai criminali informatici, spesso facendo notizia se è coinvolto un marchio di alto profilo.
D’altra parte, è improbabile che le piccole imprese dispongano del tempo, delle risorse o delle conoscenze specializzate per la sicurezza informatica. Si prevede che la criminalità informatica costerà al mondo 10,5 trilioni di dollari entro il 2025 piccole imprese assorbendo gran parte dell’impatto. Sebbene le piccole imprese possano ritenere che i criminali informatici non le prenderanno di mira a causa delle loro dimensioni, è vero il contrario.
prevalenza di software come servizio (SaaS) La criminalità clandestina fa sì che prendere di mira migliaia di piccole imprese sia facile come fare clic su un pulsante del mouse. Nessuno è “troppo piccolo” per i criminali informatici di oggi.
Direttore prodotto di VikingCloud.
Valutazione della maturità della sicurezza
La maturità della sicurezza è la posizione di sicurezza di un’organizzazione in relazione al suo ambiente di rischio e alle sue tolleranze. Il livello di maturità di un’organizzazione è determinato dall’efficacia con cui implementa controlli, reporting e processi di sicurezza.
Esistono cinque livelli di maturità della sicurezza.
- Livello uno. I processi di sicurezza delle informazioni non sono strutturati, le policy non sono documentate e i controlli non sono automatizzati né segnalati all’azienda. Questi potrebbero essere limitati ai controlli di base come la scansione.
- Livello due. Vengono stabiliti processi di sicurezza delle informazioni e le politiche vengono definite in modo informale ma applicate solo parzialmente.
- Terzo livello. A questo livello, vi è una maggiore attenzione alla documentazione delle politiche, all’implementazione e all’automazione dei controlli, nonché a un maggiore livello di reporting.
- Quarto livello. Ottenuto dopo che un’organizzazione ha controllato i propri processi di sicurezza delle informazioni con politiche complete, implementazione diffusa, un elevato grado di automazione e reporting aziendale.
- Livello cinque. Al massimo livello di maturità della sicurezza, le policy sono complete e formalmente accettate. Si ottiene la completa implementazione e automazione dei controlli e il reporting aziendale viene effettuato su tutti i sistemi. I processi di sicurezza delle informazioni sono costantemente monitorati e ottimizzati.
In generale, minore è il reddito, minore è il periodo di rimborso. Uno dei motivi è che le aziende più grandi tendono ad avere processi aziendali e strutture organizzative più consolidate rispetto alle loro controparti più piccole. Ma una caratteristica comune delle aziende con programmi di sicurezza informatica maturi è che l’intera organizzazione è consapevole delle pratiche di sicurezza informatica.
Creare una cultura della sicurezza e implementare le migliori pratiche per garantire l’efficacia dei controlli di sicurezza e la conformità alle normative sulla privacy dei dati sono i primi passi per aumentare il tuo livello di maturità. Sia le aziende grandi che quelle piccole possono sviluppare una cultura della sicurezza che metta al primo posto la sicurezza con la giusta leadership.
Parte di ciò sta rendendo la sicurezza informatica una questione del consiglio. Coinvolgere i direttori nelle discussioni relative alla sicurezza incoraggerà un atteggiamento proattivo che rafforzerà e migliorerà l’approccio alla sicurezza dell’intera organizzazione. Per le aziende più piccole, i proprietari devono considerare l’importanza di maturare la propria strategia di sicurezza e di non lasciare che tale mentalità si trasmetta al resto dell’azienda.
Anche l’automazione è una parte importante per raggiungere un elevato livello di maturità della sicurezza. L’implementazione di soluzioni automatizzate significa maggiore affidabilità, maggiore efficienza e fornisce report migliori per tempi di risposta più rapidi. Ma il processo di crescente maturità inizia con l’adozione di un quadro di sicurezza informatica per aiutare a identificare i rischi, proteggere le risorse aziendali e rilevare, rispondere e recuperare da un attacco alla sicurezza informatica.
Comprendere i quadri di sicurezza
Il Cybersecurity Capability Maturity Model (C2M2) del Dipartimento dell’Energia degli Stati Uniti è uno dei principali framework di controllo della sicurezza per aiutare le organizzazioni a misurare i processi di sicurezza delle informazioni e identificare come migliorarli.
Il Cybersecurity Maturity Model (CMM) del Center for Internet Security (CIS) è un altro modello completo di policy, controllo, automazione e reporting che offre alle organizzazioni la certezza di gestire in modo efficace la sicurezza informatica e di proteggersi dall’intero spettro di minacce. Questo framework, originariamente sviluppato dal Dipartimento della Difesa degli Stati Uniti, fornisce una guida per valutare la maturità della sicurezza di un’organizzazione in base all’efficacia dell’implementazione di una serie di controlli.
Ma tutti i framework sono in gran parte basati sugli standard NIST (National Institute of Standards and Technology) che aiutano le agenzie federali a conformarsi al Federal Information Security Management Act (FISMA) e ad altre normative.
Il NIST Cybersecurity Framework è uno degli standard più ampiamente accettati dal NIST; è un quadro volontario per aziende di tutte le dimensioni e in tutti i settori, creato attraverso una partnership tra il governo e le organizzazioni degli Stati Uniti per promuovere la protezione delle infrastrutture critiche.
Trova il partner giusto
Man mano che il panorama criminale cambia, le organizzazioni di tutte le dimensioni cercano aiuto. È importante che tutte le aziende abbiano chiare le competenze di cui hanno bisogno per poter selezionare e collaborare con il giusto fornitore di sicurezza. I migliori partner supporteranno e guideranno un’organizzazione attraverso qualsiasi fase del percorso di sicurezza e conformità. Sebbene la maggior parte delle partnership saranno guidate da persone qualificate, è anche fondamentale che un partner disponga di una piattaforma che unisca sicurezza e conformità.
È impossibile ignorare la crescita globale delle minacce alla sicurezza. La questione oggi non è se un’organizzazione verrà attaccata, ma quando e con quale frequenza. Con obblighi di conformità sempre più complessi, le organizzazioni di tutte le dimensioni devono dare priorità alla valutazione e al miglioramento dei propri livelli di maturità della sicurezza prima che sia troppo tardi.
