▾ G11 Media Network: | ChannelCity | ImpresaCity | SecurityOpenLab | GreenCity | Italian Channel Awards | Italian Project Awards | ...

Infosecurity Europe 2024: il rapporto tra aziende e sicurezza

Il report 2024 Cybersecurity Trends di Infosecurity Group mostra la vita per i CISO è sempre più complessa, per problematiche vecchie e nuove

Tecnologie/Scenari

Come va la cybersecurity? Nel complesso bene, come investimenti, perché difendersi è sempre più prioritario. Ma la vita professionale dei CISO si fa parallelamente sempre più complicata, perché lo scenario della cybersecurity lo è altrettanto. Questi sono i segnali principali che manda il report 2024 Cybersecurity Trends - Obstacles and Opportunities di Infosecurity Group, presentato oggi a Londra.

Il lato positivo è certamente il crescere degli investimenti in cybersecurity previsto per questo 2024. La grande maggioranza del campione esaminato ha dichiarato che il proprio budget è aumentato o aumenterà quest'anno. Circa il 15% prevede addirittura che il suo budget crescerà - o è già stato aumentato - del 50% o più. Il resto del campione "in crescita" è più conservativo: il 53% indica un aumento compreso tra il 10 e il 49 percento, mentre il 13% uno inferiore al 10%.

Chi prevede di aumentare il budget per la cybersecurity nel 2024 ha in mente alcune direzioni principali di spesa. Più precisamente, i campi a cui intende dedicare sino al 20% del maggiore budget a disposizione. Cloud security e incident response sono gli ambiti più gettonati, entrambi con il 47% di citazioni da parte del campione. Seguono da vicino altri temi tecnologici o iniziative: l'outsourcing verso i MSSP e gli antimalware al 46%, l'identity management al 45%, tre voci (training, patching, managed detection) al 43%, una coppia (AI e consolidamento dei prodotti in uso) al 41%.

Il report di Infosecurity Group però avvisa: parte di questi maggiori investimenti in cybersecurity non deriva da una organica volontà delle imprese di spendere di più in sicurezza rispetto al 2023. In molti casi i budget crescono perché crescono i costi delle licenze software e dei servizi di supporto, come anche gli stipendi dei professionisti della cybersecurity.

Ovviamente le ragioni per investire di più in servizi e soluzioni non mancano: le aziende sanno bene che il "threat landscape" è sempre più articolato, e si attrezzano per difendersi da quelle che considerano le minacce più pericolose. Quali? Il buon vecchio ransomware e le nuove minacce generate dall'AI sono state le più votate dal campione del report - entrambe al 40% di citazioni - seguite dal social engineering, dagli errori umani e dai rischi associati alla supply chain (tutti al 33%).

Il ruolo della GenAI

Se le minacce da cui difendersi sono nel complesso un bilanciato mix di classici e di novità, è indubbio che chiunque si occupi di sicurezza sta guardando in particolare ai pro e ai contro della vera novità di questi mesi: l'AI generativa. I risultati del report confermano ciò che tutti pensano da tempo: l'AI può essere sia una bene che un male. Oggi siamo a quello che viene percepito come un vero e proprio punto di svolta, ma nessuno sa se i vantaggi dell'uso dell'AI in termini di sicurezza saranno superiori agli svantaggi.

Oltre la metà (54%) del campione di Infosecurity Group ha dichiarato di avere in programma di implementare l'AI come parte della strategia di cybersecurity nei prossimi 12 mesi. Magari per conoscere meglio - e non ci sarebbe niente di male - un potenziale "nemico", dato che il 50% del campione pensa anche che l'AI provocherà un aumento degli attacchi informatici.

I professionisti della cybersecurity cercano di essere ottimisti sulla GenAI. Il 42% del camoione pensa che l'IA avrà un impatto positivo portando un training più rapido, una maggiore awareness e a una migliore educazione degli utenti. In quest'ottica, l'AI generativa potrebbe contribuire a colmare il gap di competenze nel settore della cybersecurity, che attualmente è di 4 milioni di professionisti a livello globale.

Il 44% del campione ritiene che l'AI darà alla propria impresa la possibilità di concentrarsi su attività a valore aggiunto come la pianificazione e la crescita del business. Una visione che deriva direttamente dall'idea che l'AI fa crescere l'automazione all'interno delle organizzazioni (il 48% degli intervistati crede che questo avverrà nei prossimi mesi). Un (bel) po' di prudenza comunque rimane: la metà del campione ritiene infatti che questioni normative ed etiche rallenteranno l'adozione dell'AI in questo 2024.

Crescenti complessità

AI a parte, il segnale che i professionisti della cybersecurity stanno lanciando è chiaro: tutto sta diventando man mano troppo complesso da gestire e proteggere. Ad esempio la parte normativa: la compliance è un ostacolo per la maggior parte delle organizzazioni perché le singole norme - lo indica il 44% del campione - sono troppo complicate e hanno un raggio d'azione eccessivo.

Secondo i professionisti intervistati, alcune normative - come la NIS2 - includono requisiti specifici che possono richiedere alle aziende di rispettare ulteriori standard, complicando ulteriormente gli sforzi di compliance. Per altre norme sono eccessivi i costi legati direttamente alla compliance, alla formazione del personale e alla creazione di solidi sistemi di controllo interno. In generale, rimanere aggiornati con il panorama normativo legato alla cybersecurity richiede poi uno sforzo continuo, che a volte pesa su risorse già limitate.

Con sempre più problemi da affrontare in modo strutturato, i responsabili della cybersecurity cercano di definire una strategia di nuovo vincente. Ma sono molto divisi su quale sia l'elemento chiave su cui puntare. Il 17% del campione vorrebbe automatizzare tutto grazie all'AI, mentre il 16% farebbe tabula rasa di quello che ha per partire di nuovo da zero. Il 15% punta su una profonda azione di formazione e upskilling per costruire internamente una vera cultura della sicurezza, all'opposto il 13% preferirebbe esternalizzare tutta la sicurezza aziendale a un MSSP.

E uno dei principali problemi sperimentati da chi fa cybersecurity in azienda resta sempre ben presente: una cultura trasversale della cybersecurity in azienda non si riesce ad ottenere. I motivi si sanno: il 27% del campione ha dichiarato che la mancanza di comunicazione tra i reparti, la scarsa chiarezza delle responsabilità e della titolarità del rischio e i problemi di coinvolgimento della leadership impediscono di creare una cultura del genere.

Il 36% dei responsabili della sicurezza ha dichiarato poi che fa fatica ad affrontare i temi della cybersecurity a livello di consiglio di amministrazione, anche se si sa che il coinvolgimento del board nella cybersecurity è spesso un fattore chiave. Serve purtroppo toccarlo con mano: il 30% del campione ha dichiarato che il proprio board si dedicherebbe finalmente alla cybersecurity se l'azienda venisse colpita da qualche threat actor e dovesse ripristinare infrastruttura, processi e reputazione dopo l'attacco.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.
Rimani sempre aggiornato, seguici su Google News! Seguici

Notizie correlate

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter