Qual è lo stato della cybersecurity a livello globale e in che modo le imprese dovrebbero reagire a minacce che si fanno sempre più concrete? Nel 2015 la spesa è stata pari a 84 miliardi di dollari, valore che per gli analisti è destinato a crescere fino a 125 miliardi di dollari entro il 2020. Mentre il costo totale che si dovrà sostenere a causa dei cyberattack è stimato intorno ai 90 mila miliardi di dollari entro il 2030, e secondo una recente indagine Accenture la cybersecurity è all’attenzione del board aziendale per oltre il 70% delle aziende intervistate, sia per il suo impatto in termini finanziari che per le ricadute in termini di cultura aziendale. Per misurare l’efficacia delle attuali misure di sicurezza informatica e l’adeguatezza degli investimenti in essere, Accenture Security, la business unit di Accenture interamente dedicata alla cybersecurity, ha coinvolto duemila professionisti in questo campo, in rappresentanza di aziende con un fatturato annuo di almeno un miliardo di dollari. I risultati dello studio sono stati analizzati in collaborazione con Oxford Economics per elaborare il Security Index di Accenture, un indice, che aggregando i punteggi raccolti in 15 Paesi e 12 settori, offre la possibilità di misurare la forza che le aziende hanno nel proteggersi contro i cyberattack. L’indice si basa su un modello che prende in considerazione 33 ambiti specifici di sicurezza informatica.
Il Regno Unito, per esempio, è al primo posto per il livello di collaborazione con soggetti terzi nella gestione delle crisi (52%) e per la comunicazione di incidenti informatici nell’ambito dell’allineamento all’interno dell’azienda (55%). Gli Stati Uniti, dove le aziende registrano in media risultati elevati in 12 ambiti su 33, sono quinti. L’Italia si colloca in undicesima posizione, prima di Norvegia, Germania, Australia e Spagna, rivelando aziende con buone performance nel 29% degli ambiti analizzati (10 su 33). Le aree di maggiore sofferenza risiedono nell’identificazione dei processi di business e degli asset più importanti da proteggere (solo il 14% delle aziende presenta una buona preparazione) e nella protezione dell’ecosistema e delle aree di interazione con le terze parti (23%).
«Sebbene negli ultimi anni le aziende abbiano potenziato la propria sicurezza, il loro progresso in questo senso non è andato di pari passo con il grado di sofisticatezza raggiunto da hacker sempre più preparati e aggressivi in un momento storico in cui le tecnologie stanno esprimendo al massimo le proprie potenzialità portandoci in una nuova era industriale», spiega Paolo Dal Cin, Managing Director, Accenture Security Lead per Italia, Europa Centrale e Grecia. «Quando interpellati in materia di cybersecurity, buona parte dei dirigenti d’azienda e delle istituzioni sottolinea in genere le criticità in termini di budget e risorse dedicate alla sicurezza informatica, ma si mostra allo stesso tempo incerta sull’efficacia delle azioni intraprese». Dal Cin dice che le aziende italiane in particolare sono molto in difficoltà nell’identificare in via preventiva gli elementi aziendali maggiormente sensibili ai cyberattack e nel proteggere in modo efficace l’intero ecosistema aziendale nelle aree di interazione con terze parti. «Per non disperdere energie occorre un approccio nuovo: le aziende dovrebbero mettere in atto un lavoro di analisi preventiva volta sia a ridefinire gli ambiti e le attività sui cui assicurare un livello di protezione adeguato, sia a stabilire i reali punti di debolezza su cui intervenire. Non bisogna poi tralasciare il fatto che oggi le aziende operano in ecosistemi digitali sempre più estesi». Dal Cin identifica sei azioni da intraprendere per ottenere un livello soddisfacente rispetto alla cybersecurity:
1. Fissare i criteri che definiscono una strategia di cybersecurity di successo
Stabilire delle linee guida chiare in materia di cybersecurity allineandole alle priorità del business e focalizzandole sulla capacità di rilevare e contrastare gli attacchi più avanzati.
2. Pressure-test sul livello di protezione
Sottoporre l’azienda ad azioni di Ethical Hacking (white-hat) in grado effettuare simulazioni di attacco, avere una valutazione realistica delle proprie capacità di difesa e individuare i punti di debolezza su cui lavorare
3. Proteggere dall’interno verso l’esterno
È necessario individuare e dare priorità agli asset critici dell’azienda e a focalizzare gli sforzi sulle violazioni che possono avere un maggiore impatto.
4. Continuare a innovare
Investire in soluzioni innovative e all’avanguardia piuttosto che aumentare la spesa in programmi esistenti che si sono rivelati già inefficaci.
5. Rendere la sicurezza una priorità per tutti
I dipendenti hanno un ruolo critico nell’individuare e prevenire le violazioni. Rappresentano la prima linea di difesa di un’azienda. Va garantito un adeguato livello di formazione e di investimento a livello culturale.
6. Sensibilizzare il top management
I CISO (Chief Information Security Officer) devono sensibilizzare quanto più possibile la leadership sulla priorità che la cybersecurity rappresenta e sull’impatto che una cattiva gestione può avere sull’immagine e sul valore dell’azienda