La maggioranza dei manager a livello globale pensa che le loro aziende possano fare di più imparando dagli errori commessi in passato: è quanto emerge dai risultati di una recente indagine condotta a livello globale da The Economist Intelligence Unit (EIU) e Willis Towers Watson. L’EIU ha intervistato oltre 450 aziende riguardo alle strategie e alle sfide che devono affrontare per costruire un’organizzazione cyber-resilient. Mentre la maggior parte delle aziende ritiene di aver implementato una buona risposta agli attacchi informatici , solo il 13% ha dichiarato di essere al di sopra della media nell’incorporare gli insegnamenti appresi dagli errori nelle proprie strategie di resilienza.
L’indagine ha riscontrato scarso consenso tra i consigli di amministrazione e i manager sulla pianificazione della strategia di resilienza agli attacchi informatici, come ad esempio decidere l’implementazione di strategie di difesa, dove e come allocare fondi e analizzare quali sono le aree maggiormente a rischio. La differenza nella preparazione informatica è evidente nelle diverse aree geografiche, le aziende nordamericane presentano notevoli differenze con le omologhe in Asia e, in una certa misura, anche con le aziende nell’Unione Europea su questioni quali: le aspettative sulla frequenza, l’impatto degli attacchi informatici e la fiducia nella loro capacità di riprendersi da un attacco. È interessante notare che delle quattro regioni intervistate (America settentrionale, Regno Unito, Europa e Asia), il Regno Unito ha il più alto tasso di resilienza cyber percepita, al 21%.
Altri risultati importanti dell’indagine segnalano che:
- La spesa media per la resilienza informatica aziendale è stata di circa l’1,7% del fatturato e il 96% dei componenti dei consigli di amministrazione ritiene che non sia sufficiente;
- Il Nord America ha speso il massimo in termini percentuali (2-3%), mentre le altre regioni hanno speso tra l’1-2% o ancora meno in alcuni casi.
- Tra i manager c’è poco consenso su come allocare il budget – ma sono state fornite risposte incentrate tra “la tecnologia per rafforzare le cyber-difese” e “l’acquisizione di talenti IT, la formazione e lo sviluppo delle competenze”
- Tre delle quattro regioni ritengono che il “Cda nel suo complesso” debba sorvegliare il rischio cibernetico; gli europei, invece, non sono d’accordo e affermano che dovrebbe essere un gruppo cyber dedicato.
“È importante per le aziende capire che il raggiungimento della resilienza cibernetica è fondamentale e non dovrebbe essere limitato a determinati ruoli o funzioni”, afferma Anthony Dagostino, Global Head of Cyber Risk di Willis Towers Watson. “I CdA dovrebbero enfatizzare la necessità di un quadro strategico, e la C-Suite[1] dovrebbe stabilire i processi all’interno dell’azienda, consentendo agli stakeholder, quali IT, Risk, Risorse Umane, Legal & Compliance, di guidare una strategia integrata di gestione e capacità di mitigare i rischi. Mentre la tecnologia rimarrà uno strumento cruciale di difesa, oltre la metà degli incidenti informatici sono attribuibili al comportamento dei dipendenti e ai deficit di talento nei ruoli di cyber security. Investire in altre aree come le soluzioni di capitale umano e l’assicurazione contro i cyber risk dovranno essere al centro dei dibatti durante le conversazioni dei Cda e delle C-Suite“.
“La survey conferma la difficoltà di comunicazione tra il vertice delle aziende e i propri CIO e CISO”, afferma Corrado Zana, Cyber Lead per la regione Western Europe di Willis Towers Watson, e continua ‘Molto spesso i responsabili tecnici sono costretti ad affrontare in solitudine la sfida della gestione del rischio cyber, mentre sarebbe vincente per tutti definire un approccio olistico, che intervenga sui tre assi tecnologico-organizzativo, formazione del personale e trasferimento assicurativo del rischio residuo”.
Continua Gianmarco Tosti, Country Manager Willis Towers Watson Italia “ E’ da diversi anni che il tema del Cyber Risk è stabilmente nel radar dei Consigli di Amministrazione italiani. Durante questi ultimi anni è anche aumentata sensibilmente la consapevolezza dei manager nell’affrontare la prevenzione del rischio; ciò nonostante gli attacchi Cyber crescono in maniera esponenziale e sono generati da diverse fonti, in alcuni casi apparentemente non convenzionali per un attacco informatico. Per questo motivo i manager si interrogano sulla prevenzione e la gestione delle emergenze attraverso soluzioni strutturate a 360° che vanno dai comportamenti dei dipendenti, alla resilienza dei sistemi informatici”.