Il 95% dei dipendenti afferma che c’è un gap tra la cultura aziendale in termini di cybersecurity e ciò che l’organizzazione vorrebbe raggiungere.

 

 

Molto spesso, quando si elencano le falle nei programmi di cybersecurity, si parla di strumenti, budget e preparazione del personale. Ma tutto ciò fa riferimento ad un aspetto superiore, che al momento sembra mancare, ossia la cultura della sicurezza informaticza. A dirlo è la Relazione sulla cultura della sicurezza informatica (Cybersecurity Culture Report) curata da ISACA e CMMI Institute, dalla quale emerge che solo il 5% degli addetti ai lavori ritiene che la propria azienda abbia sviluppato una cultura adeguata per proteggersi dalle minacce. L’indagine è stata svolta su scala mondiale e ha interessato i settori commerciale e tecnologico.

Inoltre, l’87% afferma che un’approccio più sviluppato aiuterebbe l’azienda a migliorare profitti ed efficienza. Ma come si manifesta questa mancanza di cultura?

 

Le lacune culturali

Cominciamo con il dire che meno della metà delle aziende conduce test pratici per la preparazione degli impiegati sulle questioni di sicurezza informatica. A ciò si aggiungono i seguenti fatti:

  • Solo il 34% dei dipendenti ha una buona comprensione del proprio ruolo nei sistemi di sicurezza aziendale
  • Nel 20% nessuno viene penalizzato per non aver rispettato le procedure
  • Solo il 17% delle aziende premia chi segue le best practice e le policy

 

C’è poi una serie di fattori che impedisce alle aziende di sviluppare una cultura e sono:

  • Mancanza di propensione da parte del personale (41%)
  • Diversità delle unità aziendali (39%)
  • Mancanza di indicatori di performance e di obiettivi di business (33%)
  • Mancanza di fondi (29%)
  • Mancanza di comprensione da parte dell’esecutivo

 

Esiste però una “formula” per porre rimedio a situazioni di questo tipo.

 

Fattori e benefici della cultura aziendale

Secondo gli intervistati, la creazione e il consolidamento di una cultura aziendale di cybersecurity sono favoriti da alcuni elementi quali:

  • Policiy chiare e ben definite (69%)
  • Formazione regolare, specialmente se pratica (57%)
  • Definizione di Chief Information Security Officer (51%)
  • Presenza di rappresentanti esecutivi (43%)

 

Nelle aziende che hanno saputo adottare queste misure, sono stati registrati i seguenti benefici:

  • Riduzione dei cyberincidenti (66%)
  • Maggiore fiducia da parte dei clienti (65%)
  • Migliore reputazione del brand (55%)