Kaspersky ha pubblicato il white paper Protection beyond detection: Why trust and transparency decide your cybersecurity future, basato su una valutazione indipendente che analizza trasparenza e responsabilità di 14 fornitori di sicurezza informatica. Dallo studio emerge un quadro in cui la conformità di base risulta diffusa, mentre le pratiche verificabili a supporto della fiducia restano meno comuni. In questo contesto, Kaspersky risulta tra i fornitori più trasparenti analizzati, con risultati superiori agli standard di settore su trattamento dei dati, affidabilità della catena di fornitura e possibilità di verifica da parte dei clienti.
Uno studio indipendente su 14 fornitori
La ricerca Transparency Review and Accountability in Cyber Security è stata commissionata dalla Camera di Commercio del Tirolo e condotta da MCI | The Entrepreneurial School ed esperti legali, in collaborazione con AV-Comparatives. L’analisi valuta un ampio set di criteri che coprono governance dei dati, pratiche di sviluppo sicuro, supply chain e meccanismi di audit. Il report segnala una distanza tra impegni dichiarati e responsabilità dimostrabile, con differenze rilevanti tra i fornitori.
Centri di Trasparenza, SBOM e report pubblici
Tra gli elementi di maggiore differenziazione, Kaspersky figura tra i soli tre fornitori che offrono Centri di Trasparenza accessibili ai clienti, spazi in cui è possibile esaminare codice sorgente, pratiche di gestione dei dati e processi di aggiornamento. L’offerta include anche l’analisi delle regole di rilevamento delle minacce e un controllo di verifica delle build rispetto alle versioni pubbliche. Nell’ambito della Global Transparency Initiative, l’azienda ha aperto oltre dieci strutture nel mondo, destinate ad aziende ed enti governativi.
La valutazione indica inoltre Kaspersky tra i soli tre fornitori che garantiscono l’accesso a una SBOM (Software Bill of Materials) e tra i quattro che pubblicano report di trasparenza con il dettaglio delle richieste di forze dell’ordine e agenzie governative. Questi indicatori risultano poco diffusi a livello di settore, secondo il report.
Punteggi e criteri di sicurezza
Su 60 criteri valutati, Kaspersky soddisfa o supera i benchmark in 57 categorie, con il punteggio più alto del campione. L’azienda rientra tra le sole tre che soddisfano tutti i criteri di sicurezza considerati, tra cui segnalazione delle vulnerabilità, avvisi di sicurezza, impegno Safe Harbor, risultati degli audit e processi SDLC. Nel report tali elementi vengono indicati come indicatori chiave di affidabilità e resilienza nel lungo periodo.
Risultati tecnici sui prodotti EDR
L’analisi include test pratici sui prodotti. Kaspersky Next EDR Optimum mostra una raccolta minima di dati e consente ai clienti di disabilitare completamente i servizi di reputazione cloud e la funzionalità EDR. Il controllo sugli aggiornamenti varia in modo significativo tra i fornitori: quasi tutti pubblicano cronologie, ma solo otto supportano l’implementazione graduale e sei, tra cui Kaspersky, permettono il controllo delle definizioni dei virus. Queste capacità risultano centrali per ambienti regolamentati o sensibili.
Trasparenza come criterio di selezione
Secondo Eugene Kaspersky, la trasparenza deve essere dimostrabile e misurabile attraverso verifiche indipendenti, poiché le soluzioni di sicurezza operano in profondità nei sistemi dei clienti. Il report conclude che, per CISO e stakeholder, la trasparenza rappresenta un criterio determinante nella scelta dei fornitori, insieme a SBOM disponibili, processi di aggiornamento verificabili, audit pubblicati e flussi di dati controllabili.
A livello industriale, la ricerca segnala un’evoluzione verso una governance della sicurezza fondata sulla responsabilità, in linea con le iniziative normative che rafforzano tracciabilità, sviluppo sicuro e trasparenza post-commercializzazione. In questo quadro, le valutazioni indipendenti diventano un riferimento per fornitori e clienti, mentre pratiche oggi poco diffuse tendono a trasformarsi in standard di base. Il white paper include una checklist operativa per supportare i CISO nella gestione dei rischi di terze parti e nella resilienza della supply chain.
