La carenza di professionisti qualificati in sicurezza informatica sta portando a violazioni più frequenti e costose dei dati. Questo è quanto emerso dall’(ISC)2 Global Information Security Workforce Study (GISWS).
Tale tendenza sta avendo ha un effetto profondo sull’economia globale, rivela il sondaggio, condotto su un campione di oltre 12.000 professionisti dell’informazione in tutto il mondo da Frost&Sullivan.
La mancanza di personale qualificato è la preoccupazione principale del 56% dei Direttori dei Servizi di Sicurezza Informatica (CISO), analogamente a quella dell’hacking, sopra a quella del pericolo hacktivism (43%) e del cyber-terrorismo (44%).
Alcune organizzazioni (il 15%) non sono in grado di stabilire un termine relativamente alla loro capacità di recuperare la situazione precedente un attacco, anche se i tempi di inattività di servizio sono una delle massime priorità per quasi i 3/4 degli intervistati.
La relazione conclude che la grave penuria di professionisti qualificati in materia di sicurezza informatica ha un impatto negativo sulle organizzazioni e i loro clienti. “Sottolineata nelle conclusioni dello studio, questa carenza è causa di un freno economico enorme che ricade sulle organizzazioni – esordisce Hord Tipton, Direttore Esecutivo di (ISC)². Il numero di aziende che subisce violazioni è in continua crescita e i dati dei clienti risultano spesso compromessi”.
Data la gravità di fenomeni quali lo spionaggio informatico e l’hacktivism, sostiene Tipton, occorre che il settore pubblico e quello privato uniscano le forze per colmare questa lacuna. “Dobbiamo concentrarci sulla creazione di una forza lavoro specializzata nella sicurezza informatica competente e qualificata, che sia in grado di gestire già oggi le minacce informatiche più sofisticate di domani”.
Lo studio ha anche scoperto che c’è grave penuria di professionisti formati in materia di sviluppo di software di sicurezza e che le vulnerabilità di sicurezza delle applicazioni sono ancora piuttosto in alto nella top list delle preoccupazioni per la sicurezza, una tendenza peraltro già individuata nell’edizione 2011 dello stesso studio.
Anche le minacce legate a malware e dispositivi mobili sono in cima alla lista, con la sicurezza del cloud, il BYOD (Bring-Your-Own-Device) e il social networking citati come motivi di grande preoccupazione tra le minacce alla sicurezza più recenti.
“Il modello di business dei criminali informatici sta cambiando e, pertanto, i professionisti della sicurezza hanno bisogno di cambiare di conseguenza per affrontare questi mutamenti, adattando il proprio approccio alle tecnologie nuove ed emergenti”, chiarisce Richard Nealon, Co-Presidente dell’Advisory Board di (ISC)2 per l’area EMEA (Europa, Medio Oriente e Asia).
Anche se il 53% degli intervistati ha dichiarato che le proprie aziende cercano attivamente di consentire a dipendenti e partner commerciali di connettere i propri dispositivi personali alla rete corporate, il 78% ritiene che il BYOD rappresenti, di per sé, un rischio “abbastanza” o “molto” significativo. Ciò riflette un aumento dei livelli di preoccupazione rispetto allo studio condotto nel 2011, quando i dispositivi mobili erano stati identificati come un rischio “significativo” dal 68% degli intervistati.
La multidisciplinarietà
Secondo il rapporto, un approccio multidisciplinare è indispensabile per affrontare i rischi in ambito BYOD e cloud computing. Circa il 74% degli intervistati ha dichiarato che nuove competenze di sicurezza sono necessarie per affrontare la sfida del BYOD e il 68% ha identificato i social media come un problema grave per la protezione dei dati in azienda. Problema contro il quale il filtraggio dei contenuti risulta essere la misura di sicurezza principalmente utilizzata.
“In molti casi – sottolinea, però, Nealon -, non sono per forza necessarie nuove competenze, piuttosto un nuovo approccio. Si tratta semplicemente di guardare alle nuove tecnologie e ai requisiti di sicurezza che ne derivano”.
“Questo sondaggio mostra che abbiamo bisogno di ripensare il nostro approccio alla sfida delle competenze – ha dichiarato John Colley, Direttore Generale di (ISC)2 per l’area EMEA -. Abbiamo bisogno di guardare il problema dall’alto verso il basso, non dal basso verso l’alto. Ciò significa che occorre investire anche nella sicurezza degli utenti finali, compreso il grande pubblico, e nello sviluppo sicuro di applicazioni e sistemi, piuttosto che nelle aree tradizionali della protezione dell’infrastruttura”.
Colley ha detto che il solo modo di affrontare i rischi creati da dispositivi mobili, sicurezza degli ambienti cloud e BYOD è di buttare via il pensiero tradizionale e impegnarsi per garantire agli utenti finali e alle applicazioni una maggior protezione.
“L’efficacia dei sistemi di sicurezza tradizionali – sostiene – sta costringendo gli attacker a concentrarsi sugli utenti finali e sulle applicazioni ed è proprio in queste aree che è richiesto uno sforzo maggiore in termini di difesa. È sconcertante vedere che la vulnerabilità delle applicazioni rappresenta la preoccupazione principale per gli intervistati, tuttavia solo il 12% di loro risulta concretamente coinvolto in questo tipo di attività”.
Alcuni dei risultati più interessanti dello studio sono:
La sicurezza delle informazioni è una professione stabile e in crescita
Oltre l’80% degli intervistati non ha riferito di alcun cambiamento del datore di lavoro o di lavoro nell’ultimo anno e il 58% ha ricevuto un aumento di paga nel corso dell’anno passato. Il numero di professionisti è destinato a crescere in maniera costante (oltre l’11% all’anno per i prossimi cinque anni).
Le priorità di sicurezza variano tra i diversi mercati verticali
Circa il 63% degli intervistati appartenenti al settore finance considera la prevenzione dei danni alla reputazione della propria organizzazione come una priorità assoluta. Nel settore della sanità, il 59% ha definito la tutela della privacy del cliente come priorità assoluta. Nel building, il 57% ha scelto la sicurezza dei lavoratori come la principale priorità e il 50% degli intervistati nel settore telecomunicazioni e media ha indicato il contenimento dei tempi di inattività del servizio come la propria preoccupazione principale.
La bonifica post-attacco
Circa il 28% degli intervistati ritiene che la propria organizzazione sia in grado di rimediare, in media, a un attacco mirato nel giro di un giorno, e il 41% sostiene che la propria azienda è in grado di rimediare ai danni di un attacco entro una settimana o meno. Circa il 15% degli intervistati ha dichiarato di non sapere quanto tempo possa richiedere il recupero di una situazione compromessa nel corso di un cyber-attacco.
Come migliorare le competenze sulla cybersecurity
Per ovviare alla mancanza di competenze di sicurezza informatica, sono necessarie tre diverse tipologie di azioni, sostiene Nealon.
1. Le imprese hanno bisogno di impegnarsi a trattenere a lungo termine i professionisti della sicurezza delle informazioni, offrendo incentivi a rimanere e migliorando le opportunità di formazione e certificazione.
2. I governi devono assumersi le proprie responsabilità, promuovendo la sicurezza delle informazioni come una competenza chiave essenziale per la protezione delle infrastrutture critiche nazionali.
3. Le istituzioni devono lavorare per garantire che i corsi IT universitari e post universitari siano molto più focalizzati sulla sicurezza. Devono, inoltre, offrire più corsi dedicati alla sicurezza informatica e renderli attraenti per i potenziali studenti.
