Ricerca Deloitte e The Innovation Group: “Cyber Risk Management Italia v1.0 – Modelli di governance dei rischi cyber e raccomandazioni di sviluppo per le aziende italiane”
L’aumento incessante della digitalizzazione dei processi di business e la necessità di un sempre maggiore livello di collaboration-sharing-networking delle modalità produttive, associati alla globalizzazione e alla “commercializzazione” del cyber- crimine, hanno guidato una maggiore frequenza e gravità degli incidenti informatici e data breaches, attraverso modalità sempre più sofisticate di esecuzione di attacchi mirati al capitale informativo delle aziende.
Lo sviluppo di nuove tecnologie (Internet of Things, mobile Apps, etc.) sta producendo un numero crescente di oggetti fisici connessi a Internet e un maggiore rischio di “permeabilità” dei perimetri aziendali da parte di malicious attackers in grado di identificare le vulnerabilità generate dalla stratificazione di diverse tipologie di tecnologie, non sempre adeguatamente presidiate dalle organizzazioni. I rischi cyber non sono un problema relativo alla sola funzione ICT dell’azienda ma riguardano tutti gli aspetti della sostenibilità del business e la competitività delle aziende nel lungo periodo, in particolare se con strategie di sviluppo su mercati globali. Nonostante questo, il rischio Cyber sembra essere il rischio più sottovalutato da parte delle imprese, anche dalle stesse funzioni che hanno come proprio mandato il compito di supportare il management nel valutare e gestire adeguatamente i rischi nelle scelte strategiche e operative aziendali.
Consci di questo mutevole contesto, Deloitte e The Innovation Group hanno voluto effettuare una survey su un campione di 52 aziende italiane appartenenti ai diversi settori di mercato, per approfondire gli aspetti principali legati alla gestione del rischio Cyber: dal titolo “Cyber Risk Management Survey 2015”.
I risultati della survey hanno evidenziato una forte preminenza della funzione ICT nella gestione delle tematiche legate ai cyber risk, che sono percepiti ancora principalmente come rischi IT, ma con una positiva tendenza da parte del top management ad interrogarsi sull’identificazione di più modalità di valutazione dei rischi Cyber che siano sempre più complete, quantitative e soprattutto che riescano a descrivere meglio i possibili impatti sul business.
Alla luce di quanto sopra, si nota come le priorità per le aziende si dovranno orientare sempre più verso l’adozione di robuste strutture di governance anche per la cybersecurity, capaci di garantire un completo presidio della materia anche attraverso la costituzione di specifici “momenti” nei quali i comitati di controllo e/o i CdA possano focalizzare la loro attenzione sul tema del Cyber Risk, magari introducendo nei Board dei Director con competenze in ambito cybersecurity e/o attraverso l’effettiva adozione di framework strutturati per la gestione dei Cyber Risk (Cyber Risk Management), che a oggi risultano ancora poco utilizzati in modo estensivo e completo (circa solo dal 35% dei rispondenti).
Ecco, in breve, alcuni risultati della survey. Per un approfondimento, cliccare qui.
– Per il 31% delle Società italiane analizzate il rischio Cyber è considerato dalla funzione di Risk Management aziendale (solo) come un rischio tecnologico, rientrando nello specifico tra i rischi ICT
– Nel 31% dei casi non viene incluso nell’Enterprise Risk Management reporting e molto spesso non viene monitorato costantemente. Solo il 35% dei rispondenti ha dichiarato di utilizzare estensivamente un framework strutturato per la gestione dei Cyber Risk
– Il modello di governo dei Cyber Risk prevede la presenza di un CISO (Chief Information Security Officer) solo nel 40% delle organizzazioni analizzate
– Il 50% delle Società analizzate non sembra aver formalizzato, all’attenzione del CdA e/o dei comitati di controllo specifici, momenti destinati strutturalmente alla discussione dei propri Cyber Risk
– Il 57% delle aziende intervistate dichiarano di avere uno skill shortage rispetto alle competenze necessarie a far fronte alle necessità attuali e future per la gestione dei Cyber Risk
– Gli investimenti in ambito cybersecurity mostrano una crescita, da valori pari al 1-2% del totale budget ICT verso valori del 3-5%
la Redazione