Secondo un report di Accenture, i Ceo cyber-resilient affrontano cinque sfide per raggiungere il traguardo della resilienza informatica. Un obiettivo che però è ancora lontano da raggiungee a causa dei Ceo no-cyber.
“La cyber security è sempre più un tema centrale nell’agenda dei decisori aziendali e delle autorità pubbliche, perché stiamo assistendo a una fase di forte accelerazione tecnologica, con un effetto moltiplicatore che deriva dalla crescita a scala di più componenti innovative”, spiega Mauro Macchi, Presidente e Amministratore Delegato di Accenture Italia.
“Il sondaggio condotto da Accenture dipinge un quadro allarmante e, per certi versi, sconcertante, molto lontano dall’auspicio di includere anche i CISO nei CdA delle aziende“, commenta Enrico Morisi, ICT Security Manager: “Sembra esistere, però, uno spiraglio, un barlume di speranza, grazie a un nucleo di CEO cosiddetti cyber-resilient”. Ecco quali attività intraprendono.
Indice degli argomenti
Le criticità emerse nell’indagine di Accenture
Il rapporto di Accenture, dal titolo “Il CEO Cyber-Resilient”, si basa su un sondaggio condotto su mille CEO di grandi organizzazioni a livello globale.
La ricerca evidenza il modo reattivo in cui i CEO si approcciano alla sicurezza informatica, con il risultato paradossale di aumentare il rischio di attacchi e alzare i costi per rispondere e porre rimedio.
Il 60% dei CEO ha ammesso che le proprie organizzazioni non inglobano la sicurezza informatica nelle strategie, nei servizi o nei prodotti aziendali fin dagli esordi. Il 44% inoltre pensa che la sicurezza informatica necessiti di un intervento episodico invece che di un’attenzione continua.
“Adottare un approccio esclusivamente reattivo, addirittura episodico, per così dire ‘al bisogno’, ignorando le logiche di security by design e by default”, continua Morisi, “rappresenta forse una delle decisioni più nefaste che un’azienda possa prendere”.
Ma “è anche vero che, per quanto un sistema sia stato progettato seguendo tutte le best practice previste nell’ambito della sicurezza, esso dovrà essere calato in un contesto che, con ogni probabilità, metterà in crisi la sua security posture, vanificando, di fatto, gli sforzi profusi in fase progettuale”, ammette Morisi.
“Potrebbe quindi rivelarsi vincente”, spiega Morisi, “introdurre anche logiche basate sulla detection degli attacchi e degli incident, e sulla conseguente reaction, tenendo però ben presente che occorre soprattutto puntare ad un approccio di difesa orientato sempre più ad anticipare e contenere le minacce in tempo reale”.
I principali problemi
Il 54% dei CEO ritiene che il costo dell’adozione della cyber security superi il costo di un attacco informatico, sebbene la storia dimostri l’opposto. “Ritenere che sia più economico subire un attacco piuttosto che investire nello sviluppo di un opportuno programma di cyber security”, mette in guardia Morisi, “significa in primis non considerare l’eventualità, non certo remota, di subirne più d’uno.
Inoltre, significa “non avere ben chiaro cosa possa comportare un attacco informatico, andato a buon fine, in termini reputazionali, di impatto sui mercati e sui partner, delle conseguenze a causa della compromissione di integrità, disponibilità e confidenzialità dei dati, e così via, tutti aspetti oltretutto difficilmente quantificabili dal punto di vista monetario, e che potrebbero condurre, in extrema ratio, anche alla chiusura dell’attività aziendale”.
Per esempio, il rapporto fotografa un declino del 20% del volume d’affari, con perdite che hanno raggiunto i 300 milioni di dollari, subite da una società di spedizioni e logistica, inseguito a una violazione globale.
“Occorre inoltre tener presente che non si tratta più solo di seguire degli standard ‘su base volontaria'”, avverte Morisi: “Sono infatti state introdotte delle normative, che sono cogenti e devono quindi essere applicate e rispettate, e che prevedono sanzioni anche molto pesanti, in particolare proprio con riferimento alla figura del CEO”.
Gli altri errori
Il 90% dei CEO giudica inoltre la sicurezza informatica un fattore differenziante per i propri prodotti (o servizi) per aiutarli a creare fiducia tra i clienti. Tuttavia soltanto il 15% ha riunioni del Cda dedicate alla discussione di questioni di cyber security.
Infatti il 91% dei CEO considera la sicurezza informatica una funzione tecnica di cui hanno responsabilità i CIO o i Chief Information Security Officer.
“La sicurezza delle informazioni non è affatto una funzione tecnica”, spiega Morisi, “bensì un processo, un programma da sviluppare continuamente, che deve coinvolgere tutti gli ambiti e gli organi aziendali. Tantomeno può essere assimilabile ad un pool di soluzioni tecnologiche che, eventualmente, rappresentano sempre e solo l’ultimo step del cosiddetto risk assessment”.
Inoltre, “è profondamente fuorviante anche ritenere che sia di esclusiva responsabilità del CISO o, peggio, del CIO: la responsabilità è di tutti, analogamente all’ambito dell’Health & Safety, a partire dai vertici aziendali, dal top management che deve sostenere con vigore, convinzione e impegno, un’attenzione e una tensione continua, instancabile alla promozione della cultura della sicurezza”, sottolinea Morisi.
La cyber resilienza è un obiettivo ancora lontano
“Cloud, Dati e Intelligenza Artificiale (…) sono i driver della creazione di valore futuro. Negli ultimi anni sono stati fatti importanti progressi negli investimenti e nell’organizzazione in tema di cybersecurity, ma l’obiettivo di raggiungere una piena cyber resilienza del business è ancora lontano”, continua Macchi: “Pertanto, tutti gli attori interessati, pubblici e privati, devono focalizzarsi a maturare una nuova cultura della sicurezza informatica, perché è un tema che non può prescindere da una governance che indirizzi risorse in questa direzione”.
L’ecosistema cybertech dovrebbe “aiutare le aziende – e il Paese – a sviluppare tale cultura. È un compito non facile, che richiede visione e capitale umano, forti competenze ed esperienza maturata sul campo, conoscenza delle tecnologie più avanzate e grande capacità progettuale e realizzativa. Nell’ambito del PNRR, la voce esplicitamente dedicata alla cyber security ha per obiettivo il rafforzamento dell’ecosistema digitale nazionale attraverso il potenziamento delle attività di monitoraggio e di gestione delle minacce cyber. È quindi evidente come il nobile fine dell’intervento sia quello della resilienza, e cioè proteggere in modo ‘preventivo e reattivo’ il Paese dagli attacchi cibernetici”.
Bisogna “affiancare al raggiungimento di un’adeguata resilienza cibernetica, la protezione proattiva della sicurezza dell’esperienza dell’utente. Tutto ciò porta a concretizzare un nuovo modello in cui il cittadino sia al centro dell’esperienza digitale che si sviluppa giorno dopo giorno. E non dobbiamo dimenticare come l’Italia sia il primo Paese a livello UE per numero di identità digitali profilate e servizi fiduciari attivati, dimostrando di poter essere una locomotiva per sviluppi pionieristici su alcuni servizi di sicurezza che ruotano intorno all’esperienza dell’individuo, quella che noi chiamiamo customer journey”, conclude Macchi.
Le 5 sfide per i CEO Cyber-Resilient
I CEO cyber-resilient rappresentano appena il 5% degli intervistati, ma eccellono nella resilienza informatica.
Le loro aziende sono in grado di rilevare, limitare e risolvere le minacce più rapidamente di altri. I loro costi di violazione sono dunque inferiori e le prestazioni finanziarie decisamente superiori rispetto agli altri. Infatti ottengono in media un incremento dei ricavi di oltre il 16%, della riduzione dei costi del 21% e un aumento di bilancio del 19%.
Il loro rovescio della medaglia sono i “no-cyber” (46%) che non intraprendono con coerenza o rigore nessuna delle azioni che compiono i CEO cyber-resilient. “I cyber-resilient potrebbero infatti incarnare una sorta di tipping point per l’abbattimento di ogni ostacolo alla diffusione e alla promozione della cultura della sicurezza, che deve necessariamente permeare ogni ambito delle realtà aziendali”, afferma Morisi.
Le 5 azioni che i CEO cyber-resilient devono intraprendere sono le seguenti: integrare la cyber resilienza nella strategia aziendale fin dall’inizio; condividere la responsabilità della cyber sicurezza in tutta l’organizzazione; proteggere il core digitale nel cuore dell’organizzazione; ampliare la resilienza informatica oltre i confini e i silos organizzativi; adottare la cyber resilienza in corso per restare all’avanguardia.
“La checklist del Ceo cyber-resilient emersa dal rapporto di Accenture e basata su azioni fa capo a cinque temi fondamentali: Strategy, Culture, Technology, Ecosystems e Continous Resilience“, concluse Enrico Morisi: “Tra queste, però, la più importante è senza alcun dubbio la Culture“.
I dettagli
I CEO cyber-resilient hanno infatti quasi il doppio delle probabilità di gestire le performance informatiche nello stesso modo in cui gestiscono le prestazioni finanziarie (60% contro 33%).
Sono molto più propensi a stabilire una responsabilità condivisa tra i C-suite, ispirando i dirigenti a supportare la sicurezza informatica come fattore di differenziazione competitiva che accelera l’innovazione in modo sicuro (70% contro 37%). Inoltre lavorano a stretto contatto con i loro CISO per valutare e gestire i rischi dell’IA generativa, assicurando che la tecnologia sia utilizzata in modo sicuro ed efficace (54% contro 33%).
I CEO cyber-resilienti hanno più del doppio delle probabilità di veder aumentare il loro budget per la sicurezza informatica con l’adozione e l’implementazione di tecnologie digitali ed emergenti (76% contro 35%).
Hanno il 40% in più di probabilità di adottare politiche e controlli specifici per terze parti e ancora più inclini a favorire un approccio di valutazione del rischio a livello aziendale che interviene tra le unità e le funzioni aziendali (64% contro 41%).
I CEO cyber-resilient sono infine più propensi a implementare misure di sicurezza informatica trainanti per il settore che seguano l’evoluzione dello scenario mutevole dei rischi. S’impegnano infatti ad allinearsi alle priorità della C-suite per proteggere il business e rilevare e rispondere efficacemente ai cyber attacchi (60% contro 34%).
