Un nuovo studio IBM, condotto dal suo Institute for Business Value su oltre 700 top manager, rivela che molti leader della C-Suite non conoscono le reali minacce per la sicurezza IT.
Il report “Securing the C-Suite, Cybersecurity Perspectives from the Boardroom and C-Suite”, si basa su interviste effettuate a CxO provenienti da 28 paesi e appartenenti a 18 settori diversi, sul tema della sicurezza informatica nelle imprese. La ricerca non includeva i CISO (Chief Information Security Officer), poiché la finalità era ottenere un quadro reale di ciò che detutti gli altri manager appartenenti alla C-Suite pensano relativamente alla sicurezza informatica. Anche se la sicurezza informatica è considerata una delle principali aree critiche dal 68 per cento dei CxO1 e il 75 per cento degli stessi è convinto dell’importanza di un piano complessivo per la sicurezza, lo studio ha rivelato che i dirigenti che ricoprono ruoli chiave devono essere maggiormente coinvolti, insieme ai CISO, per assumere un ruolo più attivo e andare oltre la semplice pianificazione della sicurezza aziendale.
Uno dei risultati più importanti dello studio è che il 70 per cento dei CxO ritiene che la minaccia più seria per la propria organizzazione sia costituita da singoli individui che perseguono finalità illecite. Nella realtà, secondo un rapporto delle Nazioni Unite2, l’80% degli attacchi informatici sono guidati da organizzazioni criminali estremamente complesse, nelle quali si condividono in modo diffuso dati, strumenti e competenze. Lo studio ha rilevato che i vertici aziendali sono preoccupati da un ampio spettro di minacce, tra cui il crimine organizzato, citato dal 54 per cento degli intervistati, e la concorrenza, causa di preoccupazione per il 50 per cento dei partecipanti.
Oltre il 50 per cento dei CEO concorda sulla necessità di collaborare per combattere i crimini informatici. Paradossalmente però, solo un terzo di loro ha espresso la disponibilità a condividere esternamente le informazioni sugli incidenti di sicurezza informatica avvenuti all’interno della propria organizzazione. Ciò rivela una certa resistenza verso una collaborazione di settore diffusa e coordinata, mentre i gruppi di hacker continuano a perfezionare sul Dark Web la propria capacità di condividere informazioni, quasi in tempo reale. I CEO hanno anche sottolineato che si aspettano di più da vari soggetti esterni: maggiore sorveglianza da parte degli enti governativi, maggiore collaborazione all’interno del settore e condivisione delle informazioni a livello transnazionale, persino da parte dei concorrenti. Questa contraddizione deve ora trovare una soluzione.
In effetti, tali funzioni rappresentano obiettivi primari per i criminali informatici, poiché gestiscono dati sensibili relativi a clienti e dipendenti, nonché le informazioni finanziarie aziendali più importanti e l’accesso ai dati bancari. Nello studio, circa il 60 per cento dei CFO, CHRO e CMO riconoscono chiaramente di non essere attivamente coinvolti (e di conseguenza nemmeno i loro reparti) nelle strategie di protezione informatica e nella loro attuazione. Ad esempio, solo il 57 per cento dei CHRO riferisce di aver promosso attività di formazione dei dipendenti sulla sicurezza informatica, che costituisce il primo passo per coinvolgerli attivamente sull’argomento.
Cosa possono fare le aziende – Un numero elevatissimo di CxO intervistati, il 94 per cento, ritiene probabile che la propria azienda si trovi ad affrontare un importante incidente di sicurezza informatica nell’arco dei prossimi due anni e solo il 17 per cento si sente preparato e in grado di rispondere a queste minacce. IBM ha identificato delle figure di spicco tra gli intervistati, classificando il 17 per cento che si ritiene preparato e capace,come “Cyber-Secure”. I leader “Cyber-Secure” presentano una probabilità due volte più alta di integrare, con la collaborazione, i CxO nel programma di sicurezza informatica aziendale. Presentano, inoltre, una probabilità due volte più elevata di avere la sicurezza informatica come argomento presente nell’’ordine del giorno del Consiglio di Amministrazione.
Suggerimenti per diventare leader “Cyber-Secure”:
• Comprendere i rischi: valutare i rischi del proprio ecosistema, condurre valutazioni dei rischi per la sicurezza, sviluppare programmi di istruzione e formazione per i dipendenti e inserire la sicurezza nella pianificazione dei rischi dell’organizzazione;
• Collaborare, formare e responsabilizzare: stabilire un programma di gestione della sicurezza, responsabilizzare il CISO, portare e discutere regolarmente la sicurezza informatica nelle riunioni dei vertici aziendali e includerli nello sviluppo di un piano di risposta agli incidenti;
• Gestire i rischi con attenzione e rapidità: mettere in atto un monitoraggio continuo della sicurezza, sfruttare le scienze forensi relative agli incidenti, condividere e utilizzare l’intelligence relativa alle minacce per proteggere l’ambiente, mappare le risorse digitali all’interno delle organizzazioni e sviluppare conseguenti piani di mitigazione dei rischi, nonché sviluppare e far applicare le policy sulla sicurezza informatica.