Finalmente ti è stato assegnato il budget per la sicurezza informatica per il quale hai fatto molte pressioni, ma dove lo spendi? Come per qualsiasi altro budget, è importante scegliere le aree che offrono il massimo in termini di costi. Un’attenta analisi di ciò che sta accadendo nel panorama della sicurezza informatica ti aiuterà a prendere la giusta decisione di spesa.   

Ecco la guida di MetaCompliance su dove spendere il tuo budget per la sicurezza informatica. 

Dove spendere il budget per la sicurezza informatica 

Secondo un rapporto di McKinsey, i budget sono stati limitati, ma nel 2021 il 70% dei CISO intende chiedere un aumento significativo del budget per la sicurezza informatica. Gli attacchi informatici che hanno colpito le aziende di tutte le dimensioni e in tutti i settori stanno portando alla necessità di chiudere i battenti e di rafforzare i sistemi informatici contro gli hacker. MetaCompliance ha analizzato cinque aree chiave che meritano un budget per la sicurezza informatica: 

1. Formazione sulla consapevolezza della sicurezza e formazione sul phishing 

La prevenzione è meno costosa della cura quando si tratta dei danni che gli attacchi informatici possono causare. Prendiamo ad esempio il ransomware. Il rapporto Sophos “State of Ransomware 2021” ha rilevato che il costo della riparazione di un attacco ransomware è raddoppiato negli ultimi 12 mesi, raggiungendo in media 1,85 milioni di dollari.   

I ransomware vengono spesso diffusi tramite e-mail di phishing. A  Il rapporto 2021 di Egress concorda nell’evidenziare che il 95% dei responsabili IT ritiene che i dati siano a rischio attraverso il canale delle e-mail. Il rapporto rileva inoltre che l’83% delle organizzazioni ha subito una violazione dei dati tramite e-mail negli ultimi 12 mesi, con il 24% delle violazioni causate da un dipendente che ha condiviso i dati per errore. L’uomo nella macchina è un punto di rischio che deve essere affrontato con urgenza.   

La formazione dei dipendenti di tutta l’organizzazione sulle questioni di sicurezza informatica, comprese le considerazioni sulla privacy, è un passo fondamentale per ridurre il rischio di sicurezza informatica. La formazione sulla consapevolezza della sicurezza può essere personalizzata per adattarsi al profilo della tua azienda. I dipendenti che cadono nelle esche del phishing possono essere affrontati anche con l’aiuto di  programmi di formazione specialistica anti-phishing che insegnino ai dipendenti come pensare prima di cliccare su un allegato o un link dannoso. 

2. Governance, rischio e conformità 

Protezione dei dati Le normative sono molto severe e la loro osservanza richiede un notevole dispendio di tempo e di risorse. Le normative spesso richiedono l’aiuto di specialisti per garantire che i requisiti siano soddisfatti correttamente. L’impatto della mancata conformità è costoso, non solo in termini di multe onerose, ma anche di perdita di fiducia da parte dei clienti e di danni alla reputazione.   

L’aiuto di aziende specializzate in grado di valutare le esigenze di conformità può rendere più semplice questo processo. I consulenti in materia di conformità possono assicurarsi che la tua organizzazione sia conforme alle normative e agli standard e aiutarla a colmare eventuali lacune nei requisiti di conformità.  

3. Strumenti e misure di sicurezza 

Disporre dei giusti strumenti di sicurezza è un’area di spesa essenziale per il budget. Ma è meglio esternalizzare la gestione della sicurezza o implementare e mantenere tali misure internamente? La risposta dipende dal tuo livello di competenza nell’utilizzo delle moderne misure di sicurezza, alcune delle quali sono intelligenti e possono richiedere conoscenze specialistiche per essere configurate e interpretate.  

Un’altra considerazione riguarda il tipo di misure di sicurezza per cui spendere il budget. Questa decisione dipende dal settore in cui operi e da altre considerazioni, come le esigenze di lavoro in remoto e le interazioni con terze parti e dati dei consumatori. Tuttavia, come regola generale, si dovrebbe prendere in considerazione la spesa per la sicurezza informatica nelle seguenti aree:  

  • Gestione dell’identità e dell’accesso (IAM): Il furto di credenziali e il credential stuffing (in cui i truffatori tentano di accedere agli account utilizzando credenziali rubate) sono un grave problema di sicurezza informatica. Le credenziali rubate permettono ai truffatori di rubare grandi quantità di dati. La compromissione delle credenziali è all’origine del 61% delle violazioni, secondo l’associazione  Rapporto sulle indagini sulla violazione dei dati di Verizon

  • Sicurezza Zero Trust: Il principio “mai fidarsi, sempre verificare” è alla base dell’approccio alla sicurezza Zero Trust.  

  • Sicurezza degli endpoint: Il lavoro da remoto ha visto aumentare il numero di endpoint, come i dispositivi mobili. Ogni endpoint è un potenziale punto di accesso alla rete.   

  • Sicurezza delle applicazioni: il 72% delle organizzazioni ha subito una violazione a causa di una vulnerabilità della sicurezza delle applicazioni.  

  • Sicurezza del cloud: A Il rapporto di Gartner Inc. ha rilevato che entro il 2025 il 99% dei fallimenti della sicurezza del cloud sarà colpa del cliente. Garter consiglia di utilizzare politiche di governance e di monitoraggio per ridurre i rischi in quest’area.   

4. Assicurazione informatica

Se succede il peggio e la tua organizzazione viene infettata da un ransomware, o se un tuo dipendente subisce uno spear-phishing e il database dei tuoi clienti viene violato, e così via, l’assicurazione informatica può aiutarti ad alleviare un po’ il dolore. L’assicurazione informatica copre in genere le perdite dovute a danni ai sistemi informatici e alla perdita di informazioni dai sistemi e dalle reti informatiche. I costi dell’assicurazione informatica variano, ma alcuni assicuratori offrono premi ridotti se la tua organizzazione può dimostrare di aver adottato determinate misure di sicurezza, come ad esempio:  

  • Formazione sulla consapevolezza della sicurezza informatica  

  • Conformità agli standard di sicurezza dei dati e della privacy del settore, come la norma ISO 27001. 

  • Test di penetrazione regolari dei tuoi sistemi IT e delle tue reti 

5. Misurazioni e KPI (Indicatori chiave di prestazione) 

Essere in grado di misurare l’efficacia delle tue misure di sicurezza è un ottimo modo per giustificare le tue scelte di spesa o per modificare i budget futuri per la sicurezza informatica. Le metriche di sicurezza forniscono indicazioni sull’efficacia della tua posizione di sicurezza, compreso se le misure di conformità stanno funzionando. Queste metriche offrono un modo quantitativo per mostrare alla direzione e ai membri del consiglio di amministrazione il funzionamento del programma di sicurezza dei dati. Queste metriche possono anche contribuire a documentare l’approccio dell’azienda alla protezione dei dati in linea con i requisiti normativi. L’analisi dei KPI e degli indicatori di rischio chiave (KRI) fornisce una visione del team e della posizione di sicurezza in modo da poter ottimizzare misure e approcci.  

Esistono diversi KPI chiave che possono essere misurati; alcuni esempi che misurano le metriche di minaccia includono: 

  • Incidenti di sicurezza 

  • Tempo medio di rilevamento (MTTD) 

  • Tempo medio di risoluzione (MTTR) 

Spendere, spendere, spendere per la sicurezza informatica

Con Si prevede che la spesa per la sicurezza supererà i mille miliardi di dollari a livello globale entro il 2025, ottimizzare il budget per la sicurezza informatica è fondamentale per evitare sprechi. Forse hai già un’idea di quali sono i settori più a rischio per la tua azienda, ma continua a fare ricerche sul panorama della sicurezza in quanto cambia. Grazie a una buona conoscenza di ciò che accade nel settore e del tipo di aiuto disponibile per mitigare il rischio informatico, puoi assicurarti che il budget concordato sia vantaggioso.

Sei pronto ad adottare misure proattive? Scopri MetaPhish, un software di simulazione di phishing leader nel settore, progettato per migliorare le difese informatiche della tua azienda, ed esplora la nostra libreria di contenuti eLearning sulla sicurezza per promuovere una solida cultura della sicurezza all’interno della tua forza lavoro.

Consapevolezza della sicurezza informatica per principianti