Quanto sono preparate le aziende nella difesa dagli attacchi cyber? È una domanda ricorrente di questi tempi, a cui è difficile rispondere più che altro per la differenza fra quello di cui le persone sono convinte e la dura realtà. Cerca di fare chiarezza la ricerca State of Security Preparedness 2023 di Ivanti per la quale sono state interpellate 6.500 persone fra dirigenti, esperti di cybersecurity e dipendenti.

I risultati, come spesso capita, sono in chiaroscuro: il 97% di dirigenti e professionisti della sicurezza ha dichiarato che la propria azienda è adeguatamente o maggiormente preparata a difendersi dagli attacchi di cyber rispetto allo scorso anno. Tuttavia uno su cinque non scommetterebbe sul fatto di poter prevenire una grave violazione.

Il motivo di questa contraddizione in termini è da ricercarsi nel fatto che la consapevolezza è aumentata e di fatto ci sono investimenti per aumentare la protezione dagli attacchi informatici, però c’è ancora un approccio troppo reattivo. La dimostrazione è nei dettagli: il 92% dei team di sicurezza reputa ogni patch prioritaria, il che indica implicitamente la mancanza di tecniche per definire gli effettivi rischi e le conseguenti priorità.

Un altro esempio riguarda il contrasto alle minacce più diffuse del momento: phishing, ransomware e vulnerabilità del software: la metà degli intervistati si definisce "molto preparata" a contrastare il quadro delle crescenti minacce, ma un terzo delle volte ignorano misure di sicurezza quali la verifica delle credenziali. Inoltre, quasi la metà degli intervistati dichiara di sospettare che un ex dipendente o collaboratore abbia ancora accesso diretto a sistemi e file aziendali.

I meno zelanti nell’applicazione delle regole di cyber hygiene sono i dirigenti: uno su tre ha cliccato su almeno un link di phishing, uno su quattro usa come password delle date di nascita facili da ricordare. Inoltre, i manager sono i più propensi a mantenere le stesse password per anni e a condividerle con persone esterne all'azienda.