Negli anni, le tecnologie e le soluzioni per la cyber security sono certamente migliorate. Di molto. Quindi le aziende hanno a disposizione diversi strumenti per difendersi meglio. E lo stanno facendo, bloccando una percentuale sempre maggiore degli attacchi che ricevono. Questo però non basta a raggiungere una vera e propria cyber resilience. Intesa come la capacità di contenere gli attacchi, continuare a operare mentre li si gestiscono, ritornare alla piena operatività in breve tempo, con il minimo possibile di danni.

Le aziende che hanno conseguito una cyber resilience sono in effetti poche, sostiene Accenture. Solo il 17% del campione analizzato nel recente report State of Cyber Resilience. Una indagine condotta su oltre 4.600 manager collegati alla sicurezza e impiegati in grandi aziende (oltre un miliardo di dollari di fatturato). Il campione di imprese ha coperto 16 nazioni, tra cui anche l'Italia, e 24 mercati verticali.

Meno di un quinto delle grandi aziende sono quindi leader nella cyber resilience. Mentre la grande maggioranza (74%) si pone nella media. Un segnale tutto sommato positivo, perché indica che la gran parte delle aziende ha comunque "messo ordine" nella cyber security. È cioè in grado di difendersi come deve. Ma deve anche migliorare, ispirandosi proprio alla quota parte di aziende "virtuose".
Una evoluzione verso la "resilienza digitale" è necessaria, spiega Accenture, perché lo scenario attuale si sta facendo contraddittorio. Gli indicatori positivi indubbiamente ci sono. Ma ci sono anche segnali che indicano come le cose si stiano facendo, lato sicurezza, complesse per le aziende che non tengono il passo. O che adottano approcci di sicurezza non allineati con l'evoluzione delle minacce. E soprattutto dei modelli di comportamento dei criminali informatici.

Si investe in cyber security. Ma come?

Il nodo chiave oggi è il rapporto tra gli investimenti in sicurezza e la cyber resilience che ne deriva. Molte imprese sentono di spendere troppo rispetto ai risultati che ottengono. Non tanto per gli indicatori di base - ad esempio nella quota di attacchi bloccati - ma per la complessiva postura di sicurezza. E non è un problema collegato alla quantità assoluta di investimenti. In media le aziende del campione spendono il 10,9% del loro budget IT in cyber security, mentre quelle più virtuose lo 11,2%. Una differenza minima.

Più investimenti in cyber security significa comunque più protezione. In media, le aziende hanno registrato meno attacchi mirati (-11% rispetto all'edizione dello studio di un anno prima) e meno brecce nella sicurezza (-27%). Ma bisogna andare oltre le cifre di sintesi, perché lo scenario della sicurezza è molto dinamico.

Ad esempio una parte importante (il 40%) di queste brecce non è venuta da attacchi diretti ma da supply chain attack. Cioè da attacchi indiretti, che violano aziende, spesso più piccole, che fanno parte dell'ecosistema di business dell'azienda-capofila e arrivano poi a quest'ultima. Molte grandi imprese non sono ancora ben preparate, o non lo sono affatto, per questo scenario.

Tutte le imprese hanno, giustamente, aumentato i loro investimenti in sicurezza. Questo ha reso più articolate e complesse le loro infrastrutture di cyber security. Tanto che ciascuno dei loro componenti è diventato una voce di costo importante e crescente. Anche troppo crescente, per alcune imprese. Accenture ha identificato 17 tecnologie chiave di protezione, il 60% del campione ha dichiarato che in due anni tutte sono diventate più costose. Il 23% del campione ha addirittura dichiarato che tutte sono aumentate di costo di oltre un quarto in un anno.
Di fronte a costi che rischiano diventare eccessivi, la soluzione di molte imprese è investire complessivamente di più ma a macchia di leopardo. Cioè gli investimenti per le singole tecnologie o prodotti diminuiscono, anche se poi il totale della spesa in sicurezza cresce. Ma addio cyber resilience, perché qui si vedono importanti differenze tra i "leader" e gli altri. I primi bloccano più attacchi, scoprono prima le falle delle reti, le risolvono prima, ne riducono meglio gli impatti.

Cyber resilience: cosa fanno i migliori

Non è che le aziende leader per cyber resilience sentano meno degli altri il problema dei costi. O abbiano scoperto qualche tecnologia esoterica di protezione. È che, secondo Accenture, sono più efficienti. Questo seguendo tre direttrici: puntano alla rapidità, ottengono di più dai loro investimenti, sfruttano quello già hanno.

La ricerca di rapidità deriva anche dal modo di valutare la propria postura di sicurezza. Concentrandosi sul massimizzare non indicatori statici (quanti attacchi si riescono a bloccare, quante brecce si registrano...) ma altri più dinamici (in quanto tempo si rileva un attacco, quanto ci vuole a chiudere una breccia...). In linea con questa visione, i leader investono maggiormente nelle tecnologie che permettono loro di essere più veloci a rilevare attacchi, rispondervi, chiudere falle. Come intelligenza artificiale e piattaforme SOAR (Security, Orchestration, Automation, Response).
La massimizzazione del valore degli investimenti aiuta la cyber resilience. Secondo Accenture, le aziende leader riescono a trarre più valore dai loro investimenti in cyber security in vari modi. Innanzitutto "scalano" prima gli investimenti. Ossia sono più veloci nel passare nuovi prodotti e nuove tecnologie dallo stadio di progetti pilota alla produzione estesa. Questo anche perché investono sensibilmente di più in formazione e training. Il che mette tutti i dipendenti interessati in grado di sfruttare al meglio le novità.

Terzo fattore importante: le aziende leader della cyber resilience sono interessate alle nuove tecnologie ma non in maniera sbilanciata. Mantengono cioè in perfetta forma ciò che hanno già implementato, senza abbandonarlo velocemente in favore di nuovi approcci. Le quote del budget dedicate alla manutenzione dell'esistente, all'estensione di nuove funzioni e ai progetti pilota sono cioè in buon equilibrio. Rispettivamente 39%, 32%, 29%.

Questo è un elemento positivo, spiega Accenture, anche perché nella cyber security non conviene affatto adottare un approccio di tipo "fail fast". Testare una nuova soluzione o tecnologia per poi tornare velocemente sui propri passi rischia di lasciare scoperte aree che invece dovrebbero essere sempre protette. Oppure, in casi peggiori, può creare nuovi punti di vulnerabilità che prima non esistevano.