“Nel combattere il cybercrime finora le organizzazioni hanno avuto un approccio puramente reattivo. Oggi l’87% degli attacchi informatici mirati ai nostri sistemi viene bloccato, eppure ogni anno le organizzazioni subiscono in media ancora 30 violazioni, con un costo medio annuo di quasi 12 milioni di dollari. Il mondo è sempre più connesso e le nuove tecnologie, come l’IoT, stanno determinando una crescita esponenziale della superficie di attacco. Il nostro attuale approccio non ci porterà lontano: dobbiamo cambiare strategia e passare dalla cybersecurity alla cyber resilience, adottando un comportamento proattivo e progettando e costruendo tutti i sistemi in modo che le organizzazioni continuino ad operare malgrado gli attacchi. Bisogna diventare il cacciatore, non il cacciato”. E’ chiaro Gus Hunt, Cyber Strategist di Accenture Federal Services (già Chief Technology Officer per la CIA) nel delineare l’approccio che tutte le aziende, pubbliche e private, devono avere in materia di cybersecurity nel suo keynote al CyberTech Europe 2018 che si è appena concluso a Roma e che ha visto tutti concordi nell’affermare che serve una collaborazione più spinta tra aziende, governi, Unione Europea, Nato per combatte le minacce che alimentano l’economia criminale.
Ma le buone abitudine devono partire da dentro l’azienda, e un recente studio di Accenture, che fotografa l’approccio che oggi hanno i C-Level e i decision maker IT, ne evidenzia le carenze e la necessità di cambiare per proteggere in modo efficace le organizzazioni da futuri rischi informatici.
“Benché le aziende abbiano quasi tutte un Chief Information Security Officer (Ciso) o un manager di alto livello come un Chief Information Officer (Cio), spesso al di fuori dei loro dipartimenti questi manager hanno un’influenza limitata sulla strategia della sicurezza informatica. Inoltre, quasi la metà dei Ciso riconosce che le responsabilità di cui sono investiti per la sicurezza dell’organizzazione crescono più rapidamente della loro capacità di affrontare i problemi ad essa attinenti” afferma lo studio Securing the Future Enterprise Today 2018 condotto su un campione 1.460 dirigenti di aziende con fatturato superiore al milione di dollari, operanti in 14 settori e in 16 paesi tra America del Nord, America del Sud, Europa e Asia Pacifico.
Segnali deboli
Sono ancora pochi i segnali che dicono che i dirigenti di alto livello prevedano di decentralizzare la responsabilità in ambito di security.
Infatti, nonostante il 73% degli oltre 1.400 dirigenti di C-level intervistati si dica concorde sul fatto che lo staff e le attività di cybersecurity vadano distribuiti su tutte le aree aziendali, nel 74% delle aziende la sicurezza informatica è ancora centralizzata e solo il 25% dei dirigenti non Ciso sostiene che i direttori delle business unit abbiano anche responsabilità in materia di sicurezza informatica o che dovrebbero averla anche in futuro.
Si sta anche facendo poco per diffondere la cultura della cybersecurity tra i dipendenti e solo pochissimi Ciso hanno l’autorità per influenzare le business unit delle loro organizzazioni. Infatti, la ricerca evidenzia che solo la metà del campione dichiara che tutti i dipendenti ricevono formazioni sulla sicurezza informatica al momento del loro ingresso nell’organizzazione né vengono regolarmente sensibilizzati. Un dato che non tiene conto della volontà dei Ciso, che nel 40% dei casi dichiarano che ampliare il programma di protezione dalle minacce interne è una priorità assoluta. “Solo il 40% dei Ciso dichiara di essersi sempre consultato con i direttori delle diverse aree aziendali per capire le esigenze di business prima di proporre un approccio alla sicurezza” annota il report.
La via di fuga prevede 5 mosse, al fine di garantire la resilienza: i C-level devono definire la strategia aziendale tenendo in considerazione le azione di sicurezza per ridurre i rischi, devono introdurre nuove figure e nuovi ruoli per favorire lo sviluppo della cultura della sicurezza informatica, devono investire i dipendenti della resposanbilità della cybersecurity perché sono i primi a contribuire ad aumentare i livelli di sicurezza, con un approccio proattivo nei confronti dei clienti e dei partner per proteggere l’intera catena del valore. In un mondo in cui l’IoT è ritenuta dal campione in cima alla lista di potenziali rischi informatici (77%), seguita dal cloud (74%) e dal rapporto con le terze parti (70%) è bene che l’intera organizzazione aziendale viva la sicurezza come un dovere.
Una chiamata collettiva all’azione, che Hunt definisce un Cyber Moonshot, per la massima cooperazione tra tutti i profili, a partire dalle imprese ma che riguarda governi, mondo accademico e tutte le parti interessate a lavorare insieme, superando il modello individualista del “ciascuno per sé”.
© RIPRODUZIONE RISERVATA