Protezione dei dati, gestione degli accessi, sicurezza del cloud, rilevamento e gestione degli incidenti e continuità aziendale: lo studio di CyberVadis svela potenziali lacune che portano a un aumento del rischio di terze parti.
CyberVadis, una delle principali società di valutazione del rischio di sicurezza informatica di terze parti, ha pubblicato un nuovo studio per analizzare le misure di sicurezza informatica dichiarate dalle aziende rispetto alle valutazioni basate su prove di CyberVadis. Il rapporto si concentra su cinque aree chiave della sicurezza informatica - protezione dei dati, gestione degli accessi, sicurezza del cloud, rilevamento e risposta agli incidenti e continuità aziendale - per scoprire potenziali lacune che potrebbero portare a un aumento del rischio di terze parti da valutazioni non certificate.
Valutazione del rischio di sicurezza informatica di terze parti
CyberVadis combina la velocità dell'automazione con l'accuratezza di un team di esperti e coinvolge direttamente i fornitori nelle valutazioni della sicurezza informatica. CyberVadis convalida i risultati con un team di analisti della sicurezza e crea valutazioni della sicurezza informatica che possono essere condivise con altre aziende, insieme a un piano di miglioramento dettagliato per rafforzare la sicurezza IT.
Poiché sempre più aziende utilizzano servizi di terze parti, aumenta il rischio per i dati sensibili. Tuttavia, molti non comprendono o monitorano adeguatamente la posizione di sicurezza delle loro catene di approvvigionamento. Le risorse ridotte o la mancanza di tempo sono decisive per questa carenza. Per questo rapporto, CyberVadis ha raccolto controlli di sicurezza informatica autodichiarati da oltre 1.200 organizzazioni e ha confrontato i risultati con le proprie valutazioni, basate su una dimostrazione completa e certificata di tali controlli.
I principali risultati del rapporto includono
La due diligence sulla protezione dei dati non si estende sempre agli appalti
Sebbene la maggior parte delle organizzazioni sia a conoscenza dei requisiti del GDPR, troppe si concentrano sulle politiche interne di elaborazione dei dati e trascurano la minaccia rappresentata da terze parti. Gli analisti di CyberVadis hanno rilevato che meno di una società su tre (29%) ha valutato i rischi associati a una possibile non conformità alle normative sulla protezione dei dati. Mentre il 49% delle organizzazioni forma i propri dipendenti sulle pratiche di privacy appropriate, solo il 22% garantisce che il proprio processo di approvvigionamento includa controlli dedicati per la conformità e la privacy.
Le organizzazioni consentono l'accesso remoto, ma non sempre in modo sicuro
Poiché la pandemia di COVID-19 ha accelerato il passaggio alle operazioni remote, due terzi (62%) delle organizzazioni hanno affermato di consentire l'accesso remoto ai propri sistemi. CyberVadis ha rilevato che solo il 44% di loro ha implementato una soluzione di accesso remoto sicuro. Un po' più preoccupante è che solo il 37% ha implementato metodi di autenticazione avanzati per account con privilegi elevati e solo il 25% delle organizzazioni valutate ha definito la gestione degli accessi di terze parti.
C'è spazio per miglioramenti nell'approvvigionamento e nella gestione dei fornitori di servizi cloud
Come ulteriore dimostrazione della rapida migrazione al cloud, l'81% delle organizzazioni ha affermato di utilizzare attualmente modelli cloud. Tuttavia, esiste un serio rischio di violazioni della sicurezza dannose dovute a cloud configurati in modo errato e il rapporto ha rilevato che questa è l'area in cui sono necessari la maggior parte dei miglioramenti. Le valutazioni di CyberVadis hanno mostrato che solo il 26% delle organizzazioni gestisce i rischi associati ai propri provider cloud, il 30% garantisce che i propri provider cloud abbiano una strategia di risposta agli incidenti e il 34% garantisce che i propri provider cloud abbiano un piano di continuità aziendale.
I processi di gestione degli incidenti non includono i SIEM né prevengono il ripetersi
Per le organizzazioni di oggi, le violazioni dei dati sono una questione di "quando?" non di "se?", quindi devono prepararsi adeguatamente. Al centro di tutto ciò vi sono solide capacità di rilevamento e risposta agli incidenti che consentono di contenere tempestivamente gli attacchi informatici, prima che si verifichino danni permanenti. È incoraggiante che il 75% delle organizzazioni valutate abbia definito un processo di gestione degli incidenti, tuttavia solo il 32% ha implementato una soluzione SIEM (Security Information and Event Management) e solo il 32% dispone di un processo di "lezioni apprese" per identificare la causa principale degli incidenti per identificare e ridurre la probabilità di recidiva.
La gestione delle crisi manca su tutta la linea, ma le organizzazioni la sostengono
Il 2020 ha dimostrato l'importanza di anticipare gli eventi imprevisti e intraprendere le azioni necessarie per far fronte a una situazione critica. Tuttavia, il rapporto rivela varie carenze nella gestione delle crisi presso le organizzazioni valutate. Nella loro prima autovalutazione, il 95% dei dirigenti aziendali lo indica come potenziale di miglioramento. Le recensioni di CyberVadis lo confermano, poiché solo il 44% delle aziende valutate ha definito un piano di continuità operativa e il 22% testa regolarmente il proprio piano. Gli analisti di CyberVadis hanno anche scoperto che solo il 24% delle aziende valutate ha definito la gestione delle crisi e solo il 4% conduce regolari esercizi di crisi. Questo è preoccupante perché un buon piano di gestione delle crisi richiede che il team dedicato sia ben addestrato e preparato a rispondere prontamente in caso di un evento importante.
Metodologia del rapporto
CyberVadis ha raccolto dati sui controlli di sicurezza informatica dichiarati da 1.289 organizzazioni negli Stati Uniti, EMEA e APAC e li ha valutati utilizzando audit standardizzati e convalidati dagli analisti tramite la piattaforma CyberVadis. Il rapporto completo può essere letto online e anche scaricato.
Altro su CyberVadis.com
Informazioni su CyberVadis
CyberVadis offre alle aziende una soluzione conveniente e scalabile per le valutazioni dei rischi di sicurezza informatica di terze parti. Per una tariffa annuale fissa, conduciamo un numero illimitato di valutazioni basate su prove tramite la piattaforma CyberVadis. La nostra piattaforma intuitiva e di facile utilizzo si basa su una metodologia conforme a tutti i principali standard di conformità internazionali, tra cui NIST, ISO 27001, GDPR e molte altre leggi sulla privacy e sulla sicurezza. La soluzione CyberVadis combina la velocità dell'automazione con l'accuratezza e l'efficacia del nostro team di esperti.