Solo il 30% delle aziende a livello globale effettua un monitoraggio adeguato dei suoi asset e l’Italia si trova nelle posizioni di coda nella classifica frutto di un’indagine internazionale di Accenture Security dei paesi più a rischio di attacchi cyber. Classifica che vede ai vertici Regno Unito e Francia, con l’Italia nelle retrovie, anche se il nostro paese precede paesi insospettabili fra cui a sorpresa la Germania.
Le aree di maggiore sofferenza per le aziende italiane analizzate risiedono nell’identificazione dei processi di business e degli asset più importanti da proteggere (solo il 14% delle aziende prese in considerazione presenta una buona preparazione) e nella protezione dell’ecosistema e delle aree di interazione con le terze parti (23%).
Contesto
E’ questa la fotografia che emerge dall’indagine condotta da Accenture Security, secondo cui a livello globale la spesa per la sicurezza informatica nel 2015 è stata di 84 miliardi di dollari, valore che per gli analisti è destinato a crescere fino a 125 miliardi di dollari entro il 2020. Il costo totale che si dovrà sostenere a causa dei cyberattack è stimato intorno ai 90mila miliardi di dollari entro il 2030.
Secondo l’indagine Accenture, la cybersecurity è all’attenzione del board aziendale per oltre il 70% delle aziende intervistate, sia per il suo impatto in termini finanziari che per le ricadute in termini di cultura aziendale. Ogni mese due violazioni su tre vanno mediamente a buon fine e vengono scoperte dopo mesi, se non anni. Se da un lato le performance in termini di sicurezza informatica negli ultimi anni sono migliorate, dall’altro il cybercrime si sta evolvendo più velocemente di quanto le aziende non riescano a fare e sta diventando sempre più aggressivo e organizzato.
Le organizzazioni di tutti i settori non dovrebbero più chiedersi “se”, ma “quando” dovranno affrontare una violazione della sicurezza. La buona notizia è che prendendo provvedimenti adeguati le aziende possono ridurre in modo sostanziale l’impatto degli attacchi informatici.
Accenture Security Index: l’indice di performance sulla cybersecurity
Per misurare l’efficacia delle attuali misure di sicurezza informatica e l’adeguatezza degli investimenti in essere, Accenture Security, la business unit di Accenture interamente dedicata alla cybersecurity, ha coinvolto 2.000 professionisti in questo campo, in rappresentanza di aziende con un fatturato annuo di almeno un miliardo di dollari. I risultati dello studio sono stati analizzati in collaborazione con Oxford Economics per elaborare il Security Index di Accenture, un indice, che aggregando i punteggi raccolti in 15 Paesi e 12 settori, offre la possibilità di misurare la forza che le aziende hanno nel proteggersi contro i cyberattack. L’indice si basa su un modello che prende in considerazione 33 ambiti specifici di sicurezza informatica e fornisce un nuovo benchmark per stabilire quali caratteristiche deve avere un sistema di sicurezza efficace e su cosa devono intervenire le aziende per implementare soluzioni di cybersecurity di successo.
Performance molto basse a livello globale
L’analisi rivela che, a fronte dell’aumento della frequenza e della portata dei cyber-attacchi, quasi i tre quarti delle aziende (73%) a livello globale non riescono a identificare e proteggere al meglio i propri processi e gli asset aziendali più importanti. Secondo il Security Index da Accenture, solo un’azienda su tre (34%) ha la capacità necessaria per monitorare le minacce a cui sono esposti elementi critici del proprio business.
A livello globale, l’azienda media dimostra di essere preparata solo in 11 dei 33 ambiti di cybersecurity analizzati e soltanto il 9% delle aziende registra performance elevate in più di 25 ambiti.
Nel Regno Unito, che insieme alla Francia è al primo posto nella classifica dei migliori Paese per risultati in termini di cybersecurity, in media le aziende hanno raggiunto performance elevate nel 44% degli ambiti analizzati (15 su 33).
- Il Regno Unito è al primo posto assoluto per il livello di collaborazione con soggetti terzi nella gestione delle crisi (52%) e per la comunicazione di incidenti informatici nell’ambito dell’allineamento all’interno dell’azienda (55%).
- Al contrario, la Spagna si colloca in fondo alla classifica, con aziende che raggiungono performance elevate solo nel 22% degli ambiti analizzati (7 su 33).
- Gli Stati Uniti, dove le aziende registrano in media risultati elevati in 12 ambiti su 33, sono quinti. In tutti gli altri ambiti analizzati gli USA presentano performance nella media a eccezione di governance e leadership, per le quali si collocano al secondo posto generale nella creazione di una cultura della sicurezza (53%) e nella collaborazione con soggetti terzi nella gestione delle crisi (42%).
L’Italia si colloca in undicesima posizione, prima di Norvegia, Germania, Australia e Spagna, rivelando aziende con buone performance nel 29% degli ambiti analizzati (10 su 33). Le aree di maggiore sofferenza risiedono nell’identificazione dei processi di business e degli asset più importanti da proteggere (solo il 14% delle aziende presenta una buona preparazione) e nella protezione dell’ecosistema e delle aree di interazione con le terze parti (23%).
Forti differenze di performance a livello di settore
- Le società del settore delle comunicazioni si mostrano in generale le più preparate, con un buon punteggio in 11 ambiti. Le aree in cui rivelano elevate performance sono quelle relative alla protezione e al ripristino degli asset chiave (49% di aziende con performance elevate) e al monitoraggio di minacce rilevanti per l’azienda (47%).
- Gli istituti bancari presentano performance elevate in otto aree, quali l’analisi “what if” (valutazione delle conseguenze) delle minacce (47%) e la sicurezza informatica di soggetti terzi all’interno del proprio ecosistema aziendale esteso (44%).
- Le società a elevato contenuto tecnologico sono le migliori in sette ambiti, tra cui la capacità di creare una cultura della sicurezza (54%) e il ripristino dopo incidenti informatici (48%).
- Le aziende del settore life science sono il fanalino di coda con un ranking generale pari solo al 19%; le società di questo settore presentano in media performance elevate solo in sei ambiti.
- Il settore life science presenta inoltre i risultati più bassi in 32 su 33 ambiti, come coinvolgimento degli stakeholder (12%) e progettazione della protezione degli asset chiave (13%).
Cosa rivela il Security Index e cosa dovrebbero fare le aziende?
Risponde Paolo Dal Cin, Managing Director, Accenture Security Lead per Italia, Europa Centrale e Grecia
“Sebbene negli ultimi anni le aziende abbiano potenziato la propria sicurezza, il loro progresso in questo senso non è andato di pari passo con il grado di sofisticatezza raggiunto da hacker sempre più preparati e aggressivi in un momento storico in cui le tecnologie stanno esprimendo al massimo le proprie potenzialità portandoci in una nuova era industriale – ha detto Dal Cin – Quando interpellati in materia di cybersecurity, buona parte dei dirigenti d’azienda e delle istituzioni sottolinea in genere le criticità in termini di budget e risorse dedicate alla sicurezza informatica, ma si mostra allo stesso tempo incerta sull’efficacia delle azioni intraprese”.
“E’ molto alto il rischio di allocare il tempo e il denaro, già spesso limitati, in modo scorretto e senza produrre risultati efficaci – aggiunge – Secondo il nostro indice, le aziende italiane in particolare sono molto in difficoltà nell’identificare in via preventiva gli elementi aziendali maggiormente sensibili ai cyberattack e nel proteggere in modo efficace l’intero ecosistema aziendale nelle aree di interazione con terze parti”.
“Per non disperdere energie occorre un approccio nuovo: le aziende dovrebbero mettere in atto un lavoro di analisi preventiva volta sia a ridefinire gli ambiti e le attività sui cui assicurare un livello di protezione adeguato, sia a stabilire i reali punti di debolezza su cui intervenire – sostiene Dal Cin – Non bisogna poi tralasciare il fatto che oggi le aziende operano in ecosistemi digitali sempre più estesi. E’ quindi indispensabile implementare una strategia di cybersecurity che sia efficace lungo tutta la catena del valore in cui l’organizzazione opera”.
“Le tecnologie e le metodologie per proteggersi dal cyber crime sono disponibili ed efficaci e includono oggi anche soluzioni di analisi predittiva basata su artificial intelligence applicata alla cybersecurity. Spesso i veri nemici sul fronte della difesa cibernetica sono un incauto senso di sicurezza delle aziende o la loro scarsa capacità di capire dove e come intervenire. In mancanza di misure adeguate, il rischio è di subire danni che portano con sé grosse ripercussioni sulla competitività e sulla fiducia nel proprio brand”.
Le 6 azioni da intraprendere per una cybersecurity efficace
Fissare i criteri che definiscono una strategia di cybersecurity di successo
Stabilire delle linee guida chiare in materia di cybersecurity allineandole alle priorità del business e focalizzandole sulla capacità di rilevare e contrastare gli attacchi più avanzati.
Pressure-test sul livello di protezione
Sottoporre l’azienda ad azioni di Ethical Hacking (white-hat) in grado effettuare simulazioni di attacco, avere una valutazione realistica delle proprie capacità di difesa e individuare i punti di debolezza su cui lavorare
Proteggere dall’interno verso l’esterno
E’ necessario individuare e dare priorità agli asset critici dell’azienda e a focalizzare gli sforzi sulle violazioni che possono avere un maggiore impatto.
Continuare ad innovare
Investire in soluzioni innovative e all’avanguardia piuttosto che aumentare la spesa in programmi esistenti che si sono rivelati già inefficaci.
Rendere la sicurezza una priorità per tutti
I dipendenti hanno un ruolo critico nell’individuare e prevenire le violazioni. Rappresentano la prima linea di difesa di un’azienda. Va garantito un adeguato livello di formazione e di investimento a livello culturale.
Sensibilizzare il top management
I CISO (Chief Information Security Officer) devono sensibilizzare quanto più possibile la leadership sulla priorità che la cybersecurity rappresenta e sull’impatto che una cattiva gestione può avere sull’immagine e sul valore dell’azienda.
