Chief Information Security Officer (Ciso) da una parte e gli altri dirigenti aziendali (la cosiddetta C-Suite) dall’altra: non stiamo parlando ovviamente di un duello ma dei soggetti chiamati a collaborare fianco a fianco per attuare piani e definire i budget per la sicurezza informatica. Colmando quello che è un evidente gap in capo a molte organizzazioni, e cioè l’inadeguata “preparazione” in termini di cybersecurity.

L’analisi dello studio «Securing the Future Enterprise Today - 2018» a firma di Accenture parla chiaro ed evidenzia come il 73% degli oltre 1.450 C-level intervistati (appartenenti ad aziende di vari settori con fatturato annuo superiore al miliardo di dollari) concordi sul fatto che la responsabilità della protezione di dati e sistemi dai cybercriminali vada distribuita su tutte le aree aziendali. Peccato che nel 74% dei casi la sicurezza informatica sia invece ancora centralizzata. Se l’obiettivo condiviso è quello di proteggere in modo efficace le aziende da possibili rischi, compito reso più complesso dalla proliferazione di dati sempre più sensibili e dall'adozione di processi sempre più automatizzati, dirigenti e i decision maker It devono necessariamente adottare un approccio diverso alla cybersecurity.

Avere in organico un Chief Information Security Officer (prerogativa di quasi tutte le imprese del campione) o un manager di alto livello come un Chief Information Officer può infatti non bastare, perché spesso questi manager, al di fuori dei loro specifici dipartimenti, hanno un’influenza limitata sulla strategia di sicurezza a livello dell’intera organizzazione. Quasi la metà dei Ciso, inoltre, riconosce che le responsabilità di cui sono investiti crescono più rapidamente della loro capacità di affrontare i problemi ad essa attinenti. Emerge quindi una sorta di dichiarazione di “inadeguatezza”, tanto più preoccupante se pensiamo al grado di velocità evolutiva degli attacchi informatici.

C’è bisogno di un gioco di squadra, questo l’assunto che si legge a chiare lettere nel rapporto di Accenture, ma al momento i segnali che confermano la propensione dei dirigenti C-level a decentralizzare la responsabilità in ambito di security sono limitati. Oggi, dice in proposito la ricerca, solo il 25% dei manager non Ciso sostiene che i direttori delle business unit abbiano anche responsabilità in materia di sicurezza informatica, e una percentuale altrettanto bassa pensa che dovrebbero averla anche in futuro.

Cosa serve per invertire la tendenza è, almeno sulla carta, esplicito: maggiore allineamento sulle procedure di protezione, focalizzando l’attenzione sulla disparità in essere fra quelle che - secondo i C-level - sono le aree di preoccupazione emergenti e le strategie di sicurezza informatica utilizzate. Le aziende, per essere più precisi, stanno facendo ancora poco per diffondere la cultura della cybersecurity tra i dipendenti e pochissimi Chief Information Security Officer “dispongono” dell’autorità per influenzare le singole business unit. Solo metà degli intervistati conferma inoltre come tutti i dipendenti ricevano formazione sulla sicurezza informatica al momento del loro ingresso nell’organizzazione e come gli stessi vengano regolarmente sensibilizzati in materia nel corso della loro permanenza in azienda.

In altri termini, metà delle aziende trascura colpevolmente questo aspetto fondamentale dell’opera di prevenzione/protezione e solo il 40% dei Ciso conferma come istituire o ampliare un programma di protezione dalle minacce interne sia una priorità assoluta. Solo una porzione identica dei manager della sicurezza intervistati dichiara inoltre di essersi sempre consultato con i direttori delle diverse aree aziendali per capire le esigenze di business prima di proporre un approccio alla sicurezza.

Lo scenario che ha rilevato Accenture, impone di conseguenza di costruire quella che gli esperti chiamano “resilienza pervasiva”. Come farlo? Cinque le azioni da intraprendere raccomandate. Si parte con il fare dei propri leader aziendali dei leader di cyber resilience per proseguire con il sostenere il ruolo di «business enabler» (per lo sviluppo di nuovi ruoli e di nuove competenze) dei responsabili della sicurezza informatica. Fare della forza lavoro una parte della soluzione per aumentare i livelli di sicurezza, è il terzo passaggio, che sotto intende al proteggere attivamente i clienti e i loro i dati. L’ultimo “task” da seguire, infine, è anche quello più impegnativo: assicurare protezione all’intero ecosistema in cui l’azienda opera. Collaborando.

© Riproduzione riservata