Cyber Risk, un rischio sottostimato dalle aziende, da gestire con competenze specifiche

CyberwarSicurezza

La ricerca Cyber Risk Management Survey 2015 condotta da Deloitte e The Innovation Group mette in luce come il rischio cyber sembri essere la minaccia più sottovalutata dalle aziende che dovrebbero invece valutarne attentamente i rischi

Il tema della sicurezza nel mondo enterprise lega attorno a sé tematiche che partono dal livello sempre più complesso di collaboration e networking tra dipendenti-fornitori-clienti, per arrivare al tema della cybersecurity sempre più sofisticata che mina il capitale informatico delle aziende ma soprattutto il business, il fatturato, la competitività nel lungo periodo. Il contesto odierno di mercato – in cui le mobile Apps, i device sempre connessi, l’Internet of Things minacciano con diversi tipi di vulnerabilità i perimetri aziendali non sempre presidiati dalle aziende – apre varchi in cui i cyber attacchi sono frequenti ma non ancora abbastanza temuti dalle aziende che ne sottovalutano l’impatto.

Una ricerca condotta da Deloitte e The Innovation Group, su un campione di 52 aziende italiane di diversi settori di mercato dal titolo Cyber Risk Management Survey 2015,  mette in luce come il rischio cyber sembri essere la minaccia più sottovalutata dalle imprese e dalle persone che dovrebbero valutarne attentamente i rischi. “L’aumento della digitalizzazione dei processi di business e della networked economy, associato a capability cyber-offensive sempre più sofisticate, comporta una maggiore esposizione delle aziende italiane ad attacchi – dichiara Stefano Buschi, Partner e responsabile per i Cyber Risk Services di Deloitte in Italia –. Il rischio Cyber sembra non essere pienamente visibile al management aziendale, che spesso lo identifica come un rischio la cui gestione e interamente delegabile alla funzione ICT, mentre andrebbe valutato e gestito considerando i molteplici aspetti legati agli impatti sulla sostenibilità del proprio business e sulla la competitività della propria azienda nel medio- lungo periodo”.

 

Fig2Deloitte

 

Secondo la ricerca, il 31% delle aziende considera il rischio Cyber solo come un rischio tecnologico, rientrando così nello specifico tra i rischi di competenza dell’Ict.
Servono invece modalità di valutazione dei rischi Cyber che siano sempre più complete, quantitative e soprattutto che riescano a descrivere meglio i possibili impatti sul business: il che si traduce in strutture di governance per la cybersecurity, con momenti  di controllo in cui i cpnsigli di amministrazione delle aziende possano focalizzare la loro attenzione sul tema del Cyber Risk.
Per fare questo si devono introdurre livelli decisionali con competenze in ambito cybersecurity, oltre ad adottare framework strutturati per la gestione degli attacchi. Oggi solo il 35% dei rispondenti ha dichiarato di utilizzare estensivamente un framework strutturato per la gestione dei Cyber Risk ma serve una strategia di Cyber Risk Management, oggi ancora poco utilizzata.

Secondo la ricerca solo il 12% delle organizzazioni dichiara di aver istituito un comitato specifico per discutere i rischi cyber, mentre  il 39% delle aziende li gestisce nell’ambito di altri comitati (Comitati Risk & Compliance/CdA) e i momenti di “confronto” con il Board sono limitati.
Nel 40% delle aziende la tematica di cyber risk viene gestita da un CISO, che nel 67% dei casi riporta al CIO, anche se i cyber risk nella maggioranza dei casi non sono inclusi tra i rischi strategici ma gestiti come rischi operativi  e solo il 18% delle aziende del campione ha definito degli indicatori KRI (key risk indicator) per la misurazione del rischio stesso.
Il 50% dichiara però di avere un programma di sicurezza molto focalizzato sulla protezione del business, in cui l’Information security Management & Reporting sarà una top priority. Dalla survey emerge l’intenzione chiara di investire nei prossimi anni nell’applicazione di un framework di Cyber Risk Management (sulla scia delle best practice internazionali), nell’Incident Response e nell’aumento di consapevolezza degli utenti finali, in linea con quanto indicato anche in Italia da parte del recente Framework Nazionale per la Cyber Security.

 

Fig4_Deloitte

Gli investimenti relativi alla cybersecurity stanno crescendo da valori minimi, pari all’1-2% del totale budget ICT, verso valori del 3-5%, con punte tra il 6 e il 10%, una tendenza progressiva verso lo sviluppo di capacità di monitoraggio, in ottica di accrescere la propria Cyber-Resilience.
Inoltre sta crescendo la consapevolezza della necessità di dotarsi di nuove competenze: il 57% delle aziende intervistate dichiara di avere uno skill shortage rispetto alle competenze necessarie a far fronte alle necessità attuali e future per la gestione dei Cyber Risk  e per colmare queste carenze il 47% delle aziende italiane afferma che sta investendo sulla formazione e sulla sensibilizzazione di tutti dipendenti.

Più in dettaglio, i risultati dell’indagine sugli aspetti di Monitoraggio, Incident Detection, Management & Response sono:
•    Le principali attività svolte per il monitoraggio della security sono gli audit di sicurezza (79%) e i vulnerability assessment/penetration test (79%).
•    Aspetti critici sono la review dei log applicativi (svolta dal 42% degli intervistati, una percentuale inferiore rispetto a quanti svolgono review su log relativi alle infrastrutture, 61%), oltre che una review delle informazioni ottenibili in caso di incidente (37%).
•    Solo il 13% delle aziende afferma di avere soluzioni complete di cybersecurity intelligence per monitorare lo stato della sicurezza informatica.
•    Incident Detection, il processo per rilevare incidenti, comportamenti anomali e data breaches è adottato solo dal 48% delle aziende del campione. Di queste, solo un 16% lo gestisce in maniera ottimale mediante utilizzo di adeguati strumenti di monitoraggio.
•    Incident Response: si rileva in questo caso un maggiore livello di maturità in quanto il 65% delle aziende lo ha opportunamente definito e documentato integrandolo nel Crisis Management, nel piano di Business Continuity o di Disaster Recovery dell’organizzazione. Tuttavia, anche per questo ambito rimangono gap da colmare, con un 21% delle aziende che non dispone di un piano di Incident Response. (Figura 6)
•    Un test periodico delle procedure di Incident e Crisis Management viene effettuato solo da un 15% delle aziende.Fig7_deloitte
“Dai risultati dell’indagine emergono alcuni gap importanti che le aziende italiane devono puntare a colmare in tempi rapidi – afferma Ezio Viola, Amministratore Delegato di The Innovation Group -:  oggi non è più sufficiente dotarsi di misure preventive, bisogna essere in grado di rilevare attacchi che avvengono per lo più in modo silente e persistente, e soprattutto sapere come reagire prontamente quando si ha evidenza di essere stati presi di mira o di aver subito un data breach”.

Read also :
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore