Cybersecurity, le imprese italiane devono correre con urgenza ai ripari

Le imprese italiane devono correre ai ripari, e devono farlo velocemente, per fronteggiare i rischi di cybersicurezza. Stando ai dati del report di Deloitte “2023 Global Future of Cyber Survey”, il 98% delle imprese italiane che sono state coinvolte è stato oggetto di almeno una violazione informatica nell'ultimo anno, con danni di entità grave o estremamente grave in circa 2 casi su 3.

"Per vincere la sfida della cybersecurity, è cruciale sviluppare una visione “cyber-first” che permei l'organizzazione e tutte le attività aziendali: dallo sviluppo della strategia alla pianificazione, dall'avvio di nuove iniziative di trasformazione digitale alla progettazione di nuovi prodotti e servizi, dal coinvolgimento di terze parti nel proprio ecosistema alla gestione dei talenti - spiega Matthew Holt, Cyber strategy and transformation leader di Deloitte. Ma l'adozione di questa prospettiva va al di là dell'implementazione tecnologica: si tratta di una trasformazione aziendale e culturale. L'adozione di un approccio cyber-first può anche “agevolare le organizzazioni nel percorso di conformità rispetto alle nuove normative, come nel caso del Regolamento Dora per il settore finanziario”.

Deloitte ha intervistato oltre mille responsabili aziendali (di cui 50 italiani) provenienti da organizzazioni con almeno mille dipendenti e 500 milioni di dollari (470 milioni di euro) di fatturato annuo. Di conseguenza, due terzi del campione italiano prevedono di aumentare i propri investimenti in cybersecurity, un trend più marcato rispetto alla dinamica a livello globale (55%): gli investimenti prediletti sono quelli in Cloud Computing (per circa il 50%), Intelligenza Artificiale (38%), IoT (38%) e Data Analytics (36%).

Sanzioni, rischio reputazionale, rischio tecnologico

Le conseguenze delle violazioni informatiche non si circoscricono alla perdita di fatturato o alla riduzione del valore di mercato dell'azienda, come sostenuto rispettivamente dal 40% e dal 36% dei dirigenti italiani, ma possono incidere sulle organizzazioni anche dal punto di vista normativo, comportando sanzioni per inadempienza rispetto alle procedure o per le violazioni dei regolamenti sulla cybersecurity, come riportato dal 52% degli intervistati. E' serio anche il rischio reputazionale, in termini di ripercussioni negative sull'immagine dell'azienda, secondo il 44%, con il possibile crollo della fiducia da parte della clientela temuto dal 46%. Una stessa percentuale si concentra invece sul rischio tecnologico, ovvero sulla possibilità che diminuisca la fiducia nell'integrità tecnologica dell'azienda. Infine, un 42% segnala le conseguenze strategiche ed operative, come il rischio di minori budget a supporto delle iniziative strategiche o le possibili interruzioni delle operation.

Un'adeguata strategia di cybersecurity supporta le aziende nel generare valore, non solo in termini di crescita dei ricavi, come indicato dal 78% dei rispondenti, ma anche e soprattutto di “brand reputation” (92%), fiducia dei clienti (92%) e modello di business resiliente (82%) e agile (80%). Sfruttare appieno tale potenziale, rendendo la cybersecurity un fattore abilitante per il raggiungimento degli obiettivi aziendali, è possibile solo se questa viene integrata nella più ampia strategia di business.

Integrare la cybersecurity all'interno delle strategie aziendali 

Il 62% dei dirigenti italiani coinvolti nell'indagine ritiene che l'integrazione della cybersecurity all'interno delle strategie aziendali migliora l'efficienza nella gestione delle priorità di business sotto il profilo del risk management (94%), dal punto di vista della creazione di digital trust (92%), ma anche ai fini della trasformazione digitale (88%), poiché permette alle aziende di intraprendere percorsi di digitalizzazione con una maggiore sicurezza. Al di là dell'impatto sulle priorità di business, l'adozione di un approccio strategico e integrato alla cybersecurity, secondo gli intervistati, affina la capacità delle organizzazioni di anticipare l'identificazione dei rischi (54%), di prendere decisioni in modo rapido e agile (48%) e di adattarsi prontamente all'evoluzione del contesto competitivo (46%).

La cybersicurezza è quindi un argomento centrale che entra nei consigli d'amministrazione delle società. Sono 9 i dirigenti italiani su 10 che dichiarano come le questioni legate alla cybersecurity sono regolarmente all'ordine del giorno del loro Cda: con cadenza settimanale (36%), mensile (30%) o trimestrale (24%). I Cda delle aziende desiderano essere coinvolti sul tema, per potere definire efficacemente le strategie future.

Non a caso, 8 aziende su 10 stanno rivedendo la composizione del Cda per garantire all'interno la presenza di professionalità con competenza sul tema. Secondo il 62% dei dirigenti, l'integrazione della cybersecurity all'interno delle strategie aziendali migliora l'efficienza sotto il profilo del risk management (94%), di digital trust (92%), e ai fini della trasformazione digitale (88%).

La cybersecurity richiede un'attenta pianificazione strategica a cui le aziende italiane si stanno dimostrando particolarmente consapevoli. Secondo lo studio di Deloitte, infatti, 8 aziende italiane su 10 rivedono e aggiornano i propri piani di cybersecurity su base annua. A tal proposito, la quasi totalità delle aziende italiane (94%) ha già definito o sta definendo un piano integrato per la protezione da minacce cyber.

Le imprese italiane sostengono, nella quasi totalità, di sviluppare e implementare piani operativi che valutano le modalità di protezione dai rischi cyber in ogni fase della gestione del trattamento di dati sensibili (96%) e dichiarano di includere in ogni valutazione, o di essere quasi pronte a farlo, la più ampia rete di stakeholder, monitorando ad esempio la sicurezza di partner e fornitori per i propri programmi di valutazione del rischio cyber (92%).

Il tema, centrale, della formazione

Quella di un'adeguata formazione delle professionalità qualificate nel campo della cybersecurity è una questione centrale per le aziende italiane.

La carenza di talenti in questa area, indicata da 4 dirigenti italiani su 10, richiederà la collaborazione di attori pubblici e privati per la sua soluzione. Per questo quasi tutte le aziende italiane ritengono la formazione delle proprie risorse centrale e afferma di aver già implementato dei programmi di training per i dipendenti (92%). Perché tali programma si rivelino efficaci, le organizzazioni devono garantire che la formazione sia costante, sempre aggiornata, coerente al rischio dell'azienda. Circa 2 aziende italiane su 3 indicano che i programmi di formazione sono utili per dotarle delle corrette competenze e uno dei principali strumenti per coinvolgere, trattenere e sviluppare i talenti.

Si tratta quindi di un "cambio di rotta": all'interno delle organizzazioni italiane si sta diffondendo una nuova cultura che considera la sicurezza e la protezione dei dati non più come un'opzione tra cui le aziende possono scegliere o un insieme di pratiche incentrate sulla tecnologia; piuttosto, la sicurezza informatica va oltre le sue tradizionali radici IT e viene considerata come un'area funzionale distinta ed essenziale per la realizzazione dei risultati dell'azienda. Pertanto, oggi non rappresenta più un pro o un contro del modo in cui l'organizzazione svolge il proprio business; la cybersecurity, diventa parte del business.

Di queste e altre tematiche legate alla cybersecurity si parlerà a Verona, il 29 novembre, in occasione di Cyber & Privacy Forum, organizzato da Ethos Media Group con il patrocinio di Federprivacy.

(Fonte: Italia Oggi - di Matteo Rizzi)