Ott 24, 2023 Approfondimenti, Minacce, RSS
Il 98% delle aziende italiane ha subito una violazione informatica nell’ultimo anno, e in 2 casi su 3 i danni sono stati di entità grave o estremamente grave. A dirlo è l’ultimo report di Deloitte “Future of Cyber: una visione cyber-first per la sicurezza e la creazione di valore – Il punto di vista delle aziende italiane”.
Dei dirigenti italiani intervistati, il 52% ha sottolineato che gli attacchi informatici incidono sulle aziende soprattutto da un punto di vista normativo. A seguire, le imprese temono il rischio della perdita di reputazione (44%), con possibile perdita di fiducia da parte della clientela anche nella tech integrity dell’azienda (46%). Il 42% degli intervistati segnala le conseguenze strategiche e operative, come minori budget e interruzioni di operation, mentre il 40% teme la perdita di fatturato. Infine, il 36% dei dirigenti vede tra le principali conseguenze degli attacchi anche la riduzione di valore del mercato dell’azienda.
Le imprese sono diventate più consapevoli dei rischi informatici e la cybersecurity sta assumendo un ruolo sempre più importante per il business. Le strategie di investimento riflettono questo trend: i due terzi degli intervistati prevedono di aumentare gli investimenti in cybersecurity, una percentuale più alta della media globale del 55%.
Le soluzioni tecnologiche più prioritarie sono il cloud computing, per più del 50% degli intervistati, l’intelligenza artificiale (38%), l’IoT (38%) e la data analytics (38%).
Stando alle dichiarazioni degli intervistati, i temi della cybersecurity vengono discussi regolarmente dal Consiglio di Amministrazione (CdA), con cadenza settimanale (36%), mensile (30%) e trimestrale (24%). La board amministrativa si dice più coinvolta nel tema e riceve aggiornamenti regolari in termini di sicurezza informatica.
Le imprese hanno anche intenzione di rivedere la composizione del CdA per inserire figure specializzate in ambito cyber: 8 aziende su 10 puntano a inserire nel Consiglio professionisti con conoscenze tecnico-specialistiche in grado di comprendere l’impatto delle minacce sul business.
Seguire una strategia ben definita di cybersecurity permette alle aziende non solo di accrescere i ricavi (78%), ma anche e soprattutto di migliorare la reputazione del brand (92%), di aumentare la fiducia da parte dei clienti (92%) e di costruire un modello di business resiliente (82%) e agile (80%).
L’approccio “cyber-first” implica che la sicurezza venga integrata in ogni aspetto operativo e del business; ciò consente di migliorare anche i processi interni e la gestione delle priorità per il risk management (94%) e per la trasformazione digitale (88%).
“Per vincere la sfida della cybersecurity, è cruciale sviluppare una visione “cyber-first” che permei l’organizzazione e tutte le attività aziendali: dallo sviluppo della strategia alla pianificazione, dall’avvio di nuove iniziative di trasformazione digitale alla progettazione di nuovi prodotti e servizi, dal coinvolgimento di terze parti nel proprio ecosistema alla gestione dei talenti” ha affermato Matthew Holt, Cyber Strategy and Transformation Leader di Deloitte.
Seguire questo approccio non significa soltanto investire su nuove tecnologie ma, sottolinea Holt, “si tratta di una vera e propria trasformazione aziendale e culturale”.
Per essere efficace, la strategia cyber-first richiede una pianificazione strategica puntuale. Le aziende italiane hanno cominciato a definire piani olistici per proteggersi dalle minacce informatiche (94%) e a implementare piani operativi specifici per la gestione del rischio del trattamento di dati sensibili (96%). La pianificazione non si limita all’impresa, ma coinvolge anche la rete di fornitori e partner: il 92% delle aziende italiane ha all’attivo piani per monitorare l’assetto di sicurezza dei propri stakeholder.
Il mondo della cybersecurity è uno di quelli che soffre di più per la carenza di talenti sul mercato. Per sopperire a questa mancanza, il 92% degli intervistati ha affermato di aver implementato dei piani di training per i dipendenti. I corsi di formazione non servono solo per coltivare le competenze interne, ma anche per attirare nuovi talenti e trattenerli nell’ecosistema aziendale.
Affinché il training sia davvero efficace, i programmi devono essere erogati in modo continuativo e differenziati in base alle aspirazioni e alle esigenze del singolo dipendente.
“È opportuno che le aziende abbiano ben chiari quali sono i ruoli e le competenze più rilevanti in grado di garantire una consistente riduzione del complessivo rischio cyber a cui è esposta” ha concluso Holt.