I responsabili di cyber security hanno poco potere decisionale in azienda: servirebbe una maggiore collaborazione tra i manager nella definizione delle strategie. Ecco perché fa ingresso nelle aziende il concetto di cyber resilience.

 

Accenture, in un nuovo report, lancia un nuovo allarme sullo stato della sicurezza informatica delle aziende: a causa di uno scarso potere decisionale del Chief Information Security Officer (Ciso), ovvero del responsabile aziendale della sicurezza informatica, le aziende di tutto il mondo corrano rischi sempre maggiori.

In parole povere, i responsabili della cybersecurity nelle aziende hanno troppo poco potere, e con la proliferazione di dati sempre più sensibili, l’espansione della connettività e l’adozione di processi automatizzati, i decision maker IT dovrebbero adottare un approccio diverso alla cybersecurity.

Benché infatti le aziende abbiano quasi tutte un Chief Information Security Officer (Ciso) o un manager di alto livello come un Chief Information Officer (Cio), spesso al di fuori dei loro dipartimenti questi manager hanno un’influenza limitata sulla strategia della sicurezza informatica. Inoltre, quasi la metà dei Ciso riconosce che le responsabilità di cui sono investiti per la sicurezza dell’organizzazione crescono più rapidamente della loro capacità di affrontare i problemi ad essa attinenti.

 

Lo studio di Accenture: i dettagli

Nello report Securing the Future Enterprise Today – 2018, il 73% degli oltre 1.400 dirigenti di C-level intervistati si è detto concorde sul fatto che lo staff e le attività di cyber security vadano distribuiti su tutte le aree aziendali, eppure nel 74% delle aziende la sicurezza informatica è ancora centralizzata. Ci sono pochi segnali che i dirigenti prevedano di decentralizzare la responsabilità in ambito di security. Oggi solo il 25% dei dirigenti non Ciso sostiene che i direttori delle business unit hanno anche responsabilità in materia di sicurezza informatica, e una percentuale altrettanto bassa pensa che dovrebbero averla anche in futuro.

Esiste una disparità tra le aree di preoccupazione emergenti e le strategie di sicurezza informatica utilizzate per la protezione. Le aziende, ad esempio, stanno facendo ancora poco per diffondere la cultura della cyber security tra i dipendenti e pochissimi Ciso hanno l’autorità per influenzare le business unit delle loro organizzazioni. Solo metà delle imprese offre ai dipendenti formazione sulla sicurezza informatica. Sorprendentemente, solo il 40% dei Ciso dichiara che istituire o ampliare un programma di protezione dalle minacce interne è una priorità assoluta. E ancora solo il 40% di essi dichiara di essersi sempre consultato con i direttori delle diverse aree aziendali per capire le esigenze di business prima di proporre un approccio alla sicurezza.

 

Internet of Things e Cloud preoccupano

I manager di alto livello vedono nella diffusione delle nuove tecnologie e dei nuovi strumenti un potenziale aumento del rischio informatico per le loro aziende e percepiscono una crescita dei pericoli legati alla condivisione dei dati con terze parti. In cima alla lista c’è l’Internet of Things, a cui il 77% degli intervistati imputa un aumento moderato o significativo del rischio informatico.

Ancora, per il 74% degli intervistati a elevare il rischio saranno i servizi cloud, eppure solo il 44% dichiara che la propria strategia di sicurezza informatica protegge anche l’ambiente cloud. Più del 70% degli intervistati si aspetta che la condivisione dei dati con partner strategici e terze parti genererà un aumento del rischio, ma solo il 39% afferma che i dati condivisi sono adeguatamente protetti dalla strategia di sicurezza informatica dell’azienda su questo fronte.

 

Un rimedio: la cyber resilience

Secondo Accenture, bisogna trasformare i propri leader aziendali in leader di cyber resilience. La sicurezza va tenuta in considerazione a partire dalla definizione della strategia aziendale, al fine di indirizzare le azioni necessarie a ridurre il rischio. Il report fa un focus anche sulla formazione: le aziende devono prendere atto che i dipendenti sono tra i primi responsabili della cybersecurity e possono contribuire ad aumentare i livelli di sicurezza!