Oltre la metà delle grandi aziende italiane si è sentita sotto attacco.
I tentativi di cyber attacco, nel 2022, sono aumentati e le organizzazioni hanno alzato il budget dedicato alla sicurezza informatica. Nel mirino ci sono le infrastrutture critiche.
Ma è già in corso la riorganizzazione per affrontare i nuovi rischi: sempre più presente il Chief Information Security Officer (CISO), al quale si affiancano anche professionisti esterni, e via a programmi formativi rivolti ai dipendenti per educare alla cyber sicurezza.
Il rischio ha un costo
La maggiore consapevolezza, come emerge dall’Osservatorio Cybersecurity & Data Protection della School of Management del Politecnico di Milano, nasce dalla continua crescita dei tentativi di attacco (l’aumento delle violazioni cyber è confermata dal 67% delle imprese), un trend che non si arresta dall’inizio della pandemia.
E l’attacco, quando riuscito, ha causato danni tangibili (subiti dal 14%). Si tratta di perdite economiche, per via di interruzioni del servizio e ritardi nell’operatività dei processi. Ma anche di reputazionali, naturalmente, creando un danno d’immagine che mina la fiducia dei consumatori.
Anche la situazione geopolitica ha aumentato, in generale, la consapevolezza. La turbolenza in atto ha infatti impatti negativi e positivi sulle aziende: il numero di attacchi provenienti da regioni filorusse è cresciuto nell’ultimo periodo, ma il top management ha iniziato a mostrare maggiore coinvolgimento e interessamento alla sicurezza, partendo da una riorganizzazione delle attività di gestione del rischio cyber.
La gestione del rischio cyber
Per la gestione dei rischi serve dunque una visione olistica, per indirizzare le priorità di investimento. Nel 49% delle organizzazioni la gestione del rischio cyber avviene in un processo integrato di risk management aziendale, anche se rimane una quota rilevante che lo tratta come un rischio a sé stante o non lo monitora costantemente.
Tuttavia, non sono state definite delle metodologie di quantificazione del rischio, essenziale per far percepire ai vertici aziendali l’importanza della cyber security, mettendo in evidenza quindi i possibili impatti per il business di un potenziale incidente.
La nuova organizzazione per la sicurezza informatica
Ciò che si deve rafforzare è quindi la governance della sicurezza informatica. E al timone, c’è una figura che si occupa di indirizzare in modo strategico la cyber security.
Ovvero il Chief Information Security Officer, al quale è affidata la responsabilità della sicurezza: già presente in oltre metà delle grandi aziende, è spesso collocato all’interno della funzione IT e a diretto riporto del CIO. Confermando la graduale trasformazione nel tempo, che vede il CISO collaborare con più unità, tra le quali anche quella del risk management ad esempio.
Con l’affermarsi del ruolo del CISO, cresce anche la presenza di figure specializzate, spesso interne all’azienda, che completano il quadro delle competenze.
Tra le figure più comuni, i Security Administrator: si tratta di esperti delle reti, come Data Analyst, Data Architect o Data Developer. E con loro, i Data Protection Manager e i Cyber Risk Manager. Si fanno largo anche gli Ethical Hacker che, però, a differenza delle figure precedenti, spesso sono esterni all’azienda.
La conoscenza però deve essere diffusa. E praticamente tutte le grandi aziende italiane hanno ideato percorsi formativi per educare il personale alla gestione sicura degli strumenti online e alla sicurezza.
Con modalità differenti: attraverso simulazioni di attacchi di phishing o con lezioni interattive. Ma anche con semplici newsletter e piattaforme online dedicate.
L’efficacia?
Testare l’efficacia di queste iniziative di formazione non è certo semplice, ma spetta anche al dipartimento della cyber security mettersi a disposizione dell’HR per trovare il taglio più efficace su questi temi.
Soprattutto perché in Italia, la maggior parte degli attacchi cyber che vanno a buon fine, con conseguenze tangibili, sono veicolate con tecniche di social engineering. Lo sappiamo, è sempre l’uomo l’anello debole della sicurezza. Per questo è ancora più importante focalizzarsi sull’educazione dei dipendenti.
Il mercato della cyber security in Italia
Complessivamente, il mercato italiano della cyber security ha toccato un valore di 1,86 miliardi nel 2022 (+18% sul 2021, in crescita dal 2020).
Il rapporto tra spesa in cyber security e PIL in Italia si attesta allo 0,10%, in lieve crescita rispetto allo 0,08% dell’anno precedente.
Si tratta però di un risultato che colloca il nostro paese all’ultimo posto tra quelli del G7. La classifica è guidata da Stati Uniti e Regno Unito, con un rapporto dello 0,31%. Per Francia e Germania il rapporto è, rispettivamente, lo 0,19% e lo 0,18%.
