Sicurezza cyber come elemento nella strategia di business

In tema di sicurezza informatica le aziende italiane devono passare da un approccio tattico a uno strategico, passare cioè dalla semplice acquisizione e applicazione di strumenti di protezione specifici a una visione che inglobi la cyber security nel processo di crescita aziendale.

Ad oggi, secondo il Rapporto di Minsait sulla Digital Maturity in ambito Cybersecurity (realizzato con interviste ai manager di cento grandi aziende e organizzazioni in Europa e ad alcuni dei principali esperti di cyber security), il 56% delle aziende non ha una strategia di cyber security ben definita, aspetto che si scontra con una realtà in cui lo smart working moltiplica il rischio informatico e l’e-commerce cresce esponenzialmente, e in cui il 40% delle grandi aziende italiane ha subito un aumento degli attacchi informatici (secondo il Politecnico di Milano).

Il tema si evidenzia anche nell’approccio alla scelta e alla formazione delle risorse: nonostante l’aumento delle minacce, il 73% delle aziende non dispone degli strumenti necessari di incentivazione, formazione e comunicazione per i propri professionisti, e il 90% delle aziende non ha ancora incluso nel proprio organico profili di professionisti specializzati in quest’area.

Il tema chiave, suggerito da Minsait, è che una buona strategia di security oltre ad essere strumento difensivo contro gli attacchi informatici può diventare “un fattore abilitante per il business” nel momento in cui garantisce una maggiore sicurezza anche alle operazioni compiute da clienti e cittadini.

Nonostante la crescente necessità di protezione, solo il 22% delle aziende ha implementato una gestione centralizzata dell’identità, in un momento in cui il furto di identità digitale e di password è tra i principali ambiti sotto attacco. La mancanza di protezione delle aziende si riflette anche nel fatto che solo il 55% delle organizzazioni si basa su un Cybersecurity Operations Center, che è essenziale per rilevare gli attacchi ed essere in grado di reagire.

La mancanza di protezione delle aziende diventa ancora più grave tenendo conto che il 90% degli attacchi informatici si avvale di tecniche di ingegneria sociale per superare le difese delle aziende e che, durante la pandemia, gli attacchi di phishing sono aumentati del 6.000%.

In questo contesto, lo studio di Minsait rileva che il 68% delle imprese non ha ancora una figura di CISO (Chief Information Security Officer), come manager responsabile della sicurezza delle informazioni e del suo allineamento con gli obiettivi aziendali; l’82% non ha registri aggiornati degli asset digitali da proteggere e il 90% non utilizza le tecniche di cyber security più avanzate.

Nel generale quadro di inadeguatezza, il rapporto evidenzia che le aziende dei settori bancario, telecomunicazioni e media, assicurazioni ed energia si distinguono per il loro alto grado di progresso, per gli investimenti in nuove tecnologie e per la ricerca di risposte innovative alle sfide della cyber security: “Le aziende più avanzate hanno articolato una visione a lungo termine e sono impegnate nella cyber security come pilastro per la crescita e la sostenibilità del loro business. Un fattore che hanno anche saputo trasformare in una leva per migliorare i servizi che forniscono digitalmente ai clienti”, ha affermato Francesco Casertano, Security Lead di Minsait in Italia.