Come evolve il Cyber Risk Management. Dati alla mano.

Poche settimane fa si è tenuto a Roma il CyberSecurity Summit 2018, durante il quale, grazie ai contributi dei massimi maggiori Esperti italiani e internazionali del settore, sono stati approfonditi temi quali: le esigenze emergenti di sicurezza; le relative contromisure; la progettazione di soluzioni innovative sul fronte della Security Governance e del Cyber Risk Management.

Lo stesso Ezio Viola, AD e Co-Founder di The Innovation Group (società organizzatrice dell’evento) ha presentato i risultati della Cyber Risk Management Survey 2018, pensata per indagare come le aziende medio grandi affrontano le minacce alla sicurezza, qual è la maturità raggiunta sul fronte della gestione dei rischi cyber e quali sono i trend in evoluzione.

In linea generale, si nota ancora una certa reticenza relativamente agli attacchi o una scarsa consapevolezza riguardo l'essere stati attaccati (a dimostrazione del basso livello di alfabetizzazione relativa). Non stupisce quindi che la tecnica di attacco più diffusa e più efficace nell’ultimo anno è stata proprio il Phishing, che ha colpito più della metà delle 88 aziende rispondenti alla survey. Tra le varie modalità di social engineering in particolare quella del CEO Fraud è in aumento. Un dato preoccupante è che solo il 17% delle aziende che hanno subito attacchi non hanno subito conseguenze di nessun tipo. I principali danni subiti dalla fetta restante sono: danno reputazionale, perdita di fatturato, perdita di redditività o riduzione (più o meno prolungata della redditività)

Dagli insight emerge come la difficoltà di chi gestisce il rischio cyber nelle aziende risiede principalmente nella relazione tra il reparto security e il resto dell’organizzazione. Il problema principale per il 68% dei CISO è quindi come comunicare con il top management dell’azienda (che stando ai dati coinvolge raramente gli esperti di sicurezza nei processi decisionali) e renderlo partecipe e consapevole dei rischi e delle criticità.

Come spesso accade, il problema della cybersecurity è strettamente legato alla cultura aziendale. Se il 68% delle aziende vede l’ITC security solo come un centro di costo, la seconda priorità di un responsabile della sicurezza diventa l’allineamento dei propri obiettivi con quelli generali di business. Il problema non è tanto quello di raggiungere un livello assoluto di sicurezza, ma di bilanciare gli investimenti in relazione alla propria realtà, sia in relazione ai costi sia in relazione alla complessità della struttura dell’azienda. Infatti il problema non riguarda la singola entità aziendale, ma tutto il processo di fornitura (la cosiddetta supply chain). Riguardo a questo, un dato positivo: il 75% delle aziende richiede almeno una richiesta minima di compliance ai fornitori.

In sintesi, anche da questa survey emerge sempre più come il problema della cybersecurity all’interno delle organizzazioni, più che una questione tecnologica, riguardi principalmente la cultura aziendale e l’awareness (intesa anche come valutazione dei rischi) da un lato e l’integrazione delle strategie di difesa con quelle di business legate all’innovazione digitale e tecnologica.