Moltiplicare gli strumenti di cybersecurity ostacola la difesa anziché rafforzarla. L'esternalizzazione dei servizi di sicurezza informatica sta diventando sempre più diffusa e l’assicurazione informatica è tuttora un argomento per pochi, almeno in Italia. Sono alcuni dei risultati relativi al Belpaese emersi dal report “State of Cyber Defense 2023: The False-Positive of Trust” redatto da Kroll sulla base di interviste ai responsabili senior della sicurezza IT presso aziende con un fatturato compreso tra 50 milioni e 10 miliardi di dollari.

Proprio come suggerito da titolo del report, uno degli argomenti portanti è proprio la fiducia. O meglio, la mancanza di fiducia: oltre un terzo (il 42%) dei responsabili di sicurezza in Italia ha segnalato la mancanza di fiducia nei propri confronti. Peggio ancora, il 95% reputa che il top management non abbia fiducia nelle capacità dei propri team di sicurezza informatica di proteggere le organizzazioni dalle minacce informatiche.

Questo atteggiamento poco lusinghiero è probabilmente frutto di un punto di vista sbagliato da cui si osserva il problema: invece che fare affidamento sulle tecnologie per ottenere sicurezza, il 68% del campione si affida alla fiducia nei comportamenti dei dipendenti. Seguono le capacità del team di sicurezza IT di identificare e dare priorità alle problematiche di protezione informatica (indicato dal 56%), l'accuratezza degli avvisi sull’utilizzo dei dati (dal 54%) e l'efficacia di strumenti e tecnologie per la sicurezza informatica (dal 52%). Strumenti che peraltro sono spesso assenti o poco utili, dato che dalle interviste è emerso che solo il 24% delle organizzazioni dispone di MDR.

Nel complesso sembra un approccio poco maturo alla cybersecurity. Ipotesi rafforzata dal fatto che al contrario di altri Paesi, le aziende italiane sono tra le meno propense ad avere un'assicurazione per la sicurezza informatica, con solo il 16% che afferma di avere questa copertura, rispetto al 23% a livello globale. In generale, infatti, questo investimento è segno di una buona politica di consapevolezza e di gestione del rischio.

Gestione che spesso viene appaltata in esterno, come conferma anche il report: il 98% di coloro che non esternalizzano già i propri servizi di sicurezza informatica ha (o sta prendendo in considerazione) progetti per farlo, con il 51% che intende realizzarli nei prossimi 12 mesi. Tuttavia, l'89% dei responsabili IT e della sicurezza informatica afferma che è necessario migliorare la trasparenza nei rapporti tra i propri team e i fornitori di soluzioni di sicurezza informatica.