La consapevolezza in tema di sicurezza informatica, nelle imprese italiane, sta crescendo e lo dimostra l’aumento della spesa in soluzioni dedicate, che nel 2016 ha raggiunto quota 972 milioni di euro, in salita del 5% rispetto 2015. Ma non è abbastanza. Perché, come ha rilevato anche l’ultima edizione dell’Osservatorio Information Security & Privacy della School of Management del Politecnico di Milano, l’atteggiamento delle aziende verso una problematica più che mai di stretta attualità è da considerarsi ancora inadeguato. Solo il 39% delle grandi imprese, infatti, vanta piani di investimento dedicati con orizzonte pluriennale, solo il 46% ha in organico in modo formalizzato un Chief Information Security Officer e appena il 15% ha attivato assicurazioni sul rischio legato agli attacchi dei cybercriminali.
Il discorso trova conferma anche se guardiamo al tessuto delle Pmi. Stando alla sesta edizione dell’indagine di Zurich su oltre 2.600 imprese in 13 Paesi, solo il 5% delle realtà intervistate conferma di avere implementato nel corso del 2016 sistemi informatici in grado di far fronte a minacce informatiche, rispetto all'8% dell’anno precedente. La dicotomia è quindi evidente: a un incremento di consapevolezza del rischio cyber, corrisponde un forte aumento della fragilità delle aziende di fronte a queste tipologie di minaccia.
Alessandro De Felice, Presidente di Anra, associazione che dal 1972 raggruppa i risk manager e i responsabili delle assicurazioni aziendali, ha una sua precisa idea sul fenomeno. «Analizzando le indagini più recenti sul tema della cybersecurity – osserva - emerge il dato inequivocabile che solo una grande azienda su due ha un manager per la gestione della sicurezza informatica. Troppo spesso manca una cabina di regia che organizzi difese efficaci in un’ottica di medio-lungo periodo e lo scenario che abbiamo di fronte mostra come la cultura del rischio cyber sia ancora troppo lacunosa, nonostante proclami ad effetto che leggiamo costantemente sui media».
I rimedi alla scarsa mancanza di linee guida in materia di sicurezza informatica, secondo De Felice, non mancano e uno di questi è lo strumento che sta mettendo a punto (anche a beneficio delle imprese) il team per la Trasformazione Digitale del Governo Italiano, impegnato a definire una policy di «responsible disclosure» per comunicare con la comunità italiana e internazionale di ethical hacker, i cosiddetti «hacker buoni».
Un vero e proprio decalogo per i consigli di amministrazione e il management, fondato su un approccio olistico alla sicurezza dei dati e delle informazioni, è invece quello confezionato da Bdo Italia, società di advisory e audit. L’analisi nasce da uno studio (Bdo Global Risk Landscape Report) che conferma come le minacce in arrivo dal cyberspazio siano indicate al quarto posto tra i rischi che le imprese di tutto il mondo temono maggiormente, dietro la concorrenza sleale, la perdurante crisi economica e i cambiamenti di mercato che hanno un forte impatto sull’economia globale (come Brexit).
Tutto il management aziendale è quindi chiamato a un’attenzione maggiore in materia di cybersecurity, anche perché il tema passa necessariamente dall’ottemperanza alla normativa Ue sulla privacy (il cosiddetto Gdpr, General Data Protection Regulation) che andrà in vigore a maggio 2018. Un approccio alla privacy basato sul rischio, come richiede il nuovo regolamento europeo, non può prescindere, secondo gli esperti di Bdo, dagli aspetti di sicurezza informatica, essendo ormai la quasi totalità dei dati aziendali gestiti tramite sistemi più o meno permeabili alle cyber minacce. La security, insomma, non è più materia dei soli reparti It ma deve essere affrontata a livello strategico e apicale. Lo sviluppo di una strategia efficace per un presidio integrato della sicurezza digitale (e della privacy) può quindi partire dalle risposte che i consigli di amministrazione devono fornire ad alcune domande “chiave” (il decalogo di Bdo) e da tutte le conseguenti riflessioni in tema di aggiornamento di processi, organizzazione e sistema di controllo interno.
L’obbligo che investe tutto il management, e non solo i Chief Information Officer, in definitiva, è quello di invertire una tendenza che vede le aziende vittime di violazioni informatiche e di attacchi accusare sostanziali perdite in termini di clienti, opportunità di business e fatturato. Secondo il Cybersecurity Report 2017 di Cisco, l’entità di queste perdite si aggira per un terzo delle organizzazioni colpite mediamente fra il 22% e il 29% e, per ovviarvi, i Chief Security Officer spesso non hanno a disposizione gli strumenti adeguati. Fra i principali ostacoli a una difesa adeguata da parte delle aziende si segnalano infatti i limiti di budget, la scarsa compatibilità dei sistemi e la carenza di talenti specializzati.
© Riproduzione riservata