Cybersecurity: rischi, strategie e consapevolezza

Presentati a Milano i risultati della ventesima edizione della EY Global Information Security Survey (GISS), sul tema ‘Cybersecurity regained: preparing to face cyber attacks’.

 “In tempi di ’Internet of Things – ha esordito Fabio Cappelli, Partner EY e Responsabile Cyber Security Area Mediterranea -, il mondo è connesso e le aziende sono tutte digitali per default, indipendentemente dal campo in cui operano. In questo contesto il rischio di attacchi informatici aumenta esponenzialmente e con lui la necessità di mettere a punto strategie di cybersecurity efficaci”.

La consapevolezza in materia è aumentata: dei circa 1.200 top manager coinvolti (a livello mondiale) dall’indagine solo il 4% pensa di monitorare correttamente i rischi inerenti a minacce e cyber vulnerabilità, mentre il 65% ritiene di essere più esposto rispetto a 12 mesi fa. Minacce informatiche più consistenti richiedono strategie mirate e risposte potenziate: se il 90% degli intervistati quest’anno incrementerà i propri investimenti per la cybersecurity, il 59% è convinto di aver bisogno di più budget mirato a incrementare le strategie di sicurezza; quasi il 90% (in Italia, l’89%)specifica che questo aumento di risorse dovrebbe essere addirittura del 50%, ma solo il 12% potrà presumibilmente contare su un budget potenziato (superiore al 25%).

Aumentare gli investimenti ‘difensivi’ non basta: se il 56% dei top manager afferma di aver apportato modifiche ai piani aziendali, il 20% ammette invece di non avere una comprensione sufficiente (fondamentale per rivedere le strategie di cybersecurity) della vulnerabilità legata al rischio di un attacco informatico.

Tra le più gravi minacce percepite, nell’ultimo anno si impongono malware (64% rispetto al 52% del 2016) e phishing (64% contro 51%), accanto alla negligenza dei dipendenti, percepita come causa principale di vulnerabilità dal 60% delle aziende (55% nel 2016).

Una scarsa maturità in materia di protezione dei dati personali è condivisa anche dal 58% delle organizzazioni italiane coinvolte. “Con riferimento al panorama nazionale – ha precisato Rodolfo Mecozzi, Senior Manager EY – emerge una strategia di protezione dei dati poco adeguata: il 71% delle organizzazioni non si sente formato sulla sicurezza delle informazioni e il 61% non ha un programma di intelligence per anticipare possibili minacce dall’esterno. Per il nostro Paese è chiara l’esigenza di evoluzione degli attuali Security Operations Center (SOC)”.

Per condividere le conoscenze e aumentare la resilienza cyber (basata sugli ‘imperativi’ proteggere-rilevare-reagire), Fabio Cappelli ipotizza, infine, una futura collaborazione tra aziende: “Le realtà consce del panorama delle minacce, che si concentreranno sulla sicurezza sin dalla progettazione, costruendo solide difese, avranno una chance maggiore di annullare gli attacchi, di identificarli prima e di rispondere in maniera efficace”.

Nella foto Fabio Cappelli, Partner EY e Responsabile Cyber Security Area Mediterranea