Il mondo delle aziende ha ormai sviluppato una importante sensibilità rispetto ai rischi cyber e alla sicurezza informatica, ma è ancora molto il lavoro da fare per colmare il gap tra grado di consapevolezza e azioni proattive: il 72% dichiara di averne un’alta consapevolezza, ma lo percepisce come un rischio tecnico, soprattutto legato ai sistemi IT (45%) piuttosto che strategico.
Solo poco più della metà (il 55%) ha adottato un piano operativo di risk mitigation in azienda e molte realtà preferiscono appaltare la risoluzione di questi problemi all’esterno con soluzioni di outsourcing (64%). Il 49% delle aziende ha optato per programmi di formazione HR e nel 70% dei casi l’investimento in questi processi è minimo: meno del 15% del budget. Eppure, il principale fattore di vulnerabilità è nel 68% dei casi l’errore umano.
Nonostante i diversi fattori di vulnerabilità che presentano le aziende, in termini di budget dedicato al rischio informatico: il 69% delle aziende investe meno del 30% in programmi assicurativi; il 67% investe meno del 30% in servizi di monitoraggio. Al contempo, risultano elevati investimenti in backup, anche se non molto utili in assenza di un disaster recovery plan.
Guardando al futuro, la cultura del rischio in azienda risulta ancora poco radicata: nonostante i numerosi attacchi e i diversi fattori di vulnerabilità, il 53% delle aziende ritiene adeguati i sistemi di trattamento adottati. Se la maggior parte – il 58% – delle aziende conosce gli strumenti assicurativi per fronteggiare i rischi cyber e la metà (49-51%) li adotta, il 32% delle aziende esprime ancora delle riserve sul loro utilizzo, mentre il 17-23% ne è sprovvisto.
Sono queste le principali evidenze emerse dalla Cyber Risk Survey patrocinata da ANRA e condotta dall’Università di Verona in collaborazione con Riesko, che ha messo a disposizione la piattaforma per raccogliere ed elaborare i dati atti a rilevare la percezione del cyber risk da parte delle organizzazioni. L’analisi è stata strutturata su un campione di circa 250 aziende, di cui più della metà appartenenti al settore “informatica ed elettronica” e “finanza, assicurazione ed amministrazione”.
“Le organizzazioni, per sopravvivere in questo contesto sempre più complesso ed erratico devono investire maggiormente in resilienza, a tutti i livelli, in modo tale da creare un ecosistema più flessibile e sicuro, focalizzandosi sempre più sulla cyber resilience, ossia, sulla capacità di anticipare, resistere e riprendersi da eventi cyber avversi e inattesi che possono compromettere l’operatività dell’organizzazione”, dichiara Federica Maria Livelli, consigliera Anra.
“Si tratta di costruire un modello di business resiliente, ‘antifragile’ così come descritto da Nassim Nicholas Taleb nel suo libro Antifragile, prosperare nel disordine, che presuppone l’adozione di discipline strategiche come il risk management e la cyber security in un mondo sempre più data-driven. Inoltre, è quanto mai urgente diffondere la cultura digitale all’interno dell’organizzazione e la programmazione di training ad hoc per dotare il personale degli skill necessari per l’utilizzo adeguato della tecnologia implementata”, prosegue Livelli.
“Anra sostiene il valore della cultura del rischio alla base di ogni strategia aziendale e vuole essere a fianco dei propri soci, delle organizzazioni, dei vari attori istituzionali e governativi soprattutto in questo momento di ripresa delle attività e degli investimenti strategici del PNRR. Vogliamo metterci a disposizione delle organizzazioni e aiutarle a raggiungere la resilienza necessaria per poter rispondere prontamente alle sollecitazioni contingenti e affiancarle nel far fronte alle sfide future e ai rischi cyber. Gli scenari in cui ci troviamo a vivere richiedono una risposta subitanea e una resilienza strutturata. Non possiamo più attendere l’inaspettato, è ora di essere proattivi e anticipare l’inaspettato”, conclude la consigliera di Anra, Federica Maria Livelli.
Immagine fornita da Shutterstock
