Paradosso security

Nicola Carosielli
Il progresso tecnologico e la crescente digitalizzazione dell’industria e della società, si accompagna a un sempre maggiore bisogno di protezione dagli attacchi cyber da parte di aziende e cittadini. Una necessità che, secondo una ricerca di Cybersecurity Ventures, dovrebbe spingere la spesa globale per i servizi di sicurezza informatica a 1.750 miliardi considerando il periodo dal 2021 al 2025. Spesa che forse potrebbe rivelarsi anche poco sufficiente a contrastare l’offensiva degli hacker, visto che i crimini informatici potrebbero arrivare a costare al mondo qualcosa come 10.500 miliardi l’anno entro il 2025, più del triplo rispetto ai 3 mila miliardi di dieci anni fa, passando per i 6 mila miliardi di dollari del 2021.

L’imperativo della sicurezza informatica, però, rischia di essere disatteso considerando quanto emerge nell’ultimo report di McKinsey «Organizational cyber maturity: A survey for industries», visionato in anteprima da MF-Milano Finanza. Come infatti sottolineato dal rapporto condotto su oltre 100 aziende e istituzioni in numerosi settori industriali, solo il 10% del campione si sta avvicinando alle funzioni avanzate di cybersecurity: «Si tratta di aziende che gestiscono e misurano i controlli di sicurezza e privacy in un quadro di rischio aziendale, fissano soglie di propensione al rischio e includono tutti gli stakeholder nella modalità operativa della sicurezza informatica». Il 20% delle imprese, invece, sta passando a stabilire un modello operativo e un’organizzazione per professionalizzare una funzione di sicurezza informatica, adottando un approccio al rischio informatico basato sulla maturità: ben il 70% deve ancora avanzare completamente verso un approccio basato sulla cyber maturity colmando le lacune, costruendo e rafforzando i fondamenti di sicurezza e resilienza, passando poi a stabilire un modello operativo e un’organizzazione per professionalizzare una funzione di sicurezza informatica. Solo i comparti bancario, beni e servizi di consumo e sanitario spiccano tra i più avanzati nella maturità della sicurezza informatica soprattutto a causa del contesto normativo che ha favorito l’introduzione in questi settori di regolamentazioni che garantiscono un maggior controllo in tema di cybersecurity e il rischio di sanzioni. Pesano inoltre nelle scelte delle imprese anche le aspettative dei consumatori e la possibilità di avvalersi di un’offerta sempre più competitiva per ottenere una maggiore sicurezza per i loro dati.

Nel complesso, specifica McKinsey, sebbene la maturità informatica e la redditività non siano direttamente correlate in tutte le organizzazioni oggetto di analisi, è evidente una relazione complessiva tra una maggiore maturità informatica e margini migliori. Inoltre, a parte le differenze per settore industriale, le organizzazioni che raggiungono i più alti livelli di sicurezza informatica sono più spesso di grandi dimensioni e di proprietà pubblica. La maggior parte delle aziende analizzate, comunque, ha buoni risultati nello svolgimento delle attività essenziali in ambito cybersecurity, in termini di comunicazione dei requisiti di sicurezza informatica a fornitori e terze parti e comunicando politiche e standard di sicurezza informatica in tutta l’organizzazione, migliorando continuamente standard e politiche in questo ambito.

In questo contesto globale, anche le aziende italiane dovranno compiere ulteriori sforzi per raggiungere un adeguato livello di cybermaturity. Come spiega a MF-Milano Finanza Andrea Del Miglio, senior partner di McKinsey, «le grandi aziende italiane hanno un grado di maturità in media simile ai loro peer europei, mentre le piccole e medie imprese hanno ancora molta strada da fare, soprattutto a causa di investimenti contenuti e minore sensibilità al tema; tuttavia l’impressione è che il livello di consapevolezza stia aumentando». A colpire maggiormente le imprese italiane sono i cosiddetti attacchi ransomware, ovvero «codici che cifrano i dati presenti su un sistema rendendoli inaccessibili, al fine di chiedere un riscatto». «Sono molto diffusi perché estremamente redditizi per chi li effettua e rappresentano oltre i due terzi del totale degli attacchi noti e possono esserne vittima sia le aziende che i privati cittadini», sottolinea Del Miglio. Attacchi destinati a moltiplicarsi soprattutto per la penetrazione sempre più frequente del digitale: «Usando i ransomware come esempio, molti attacchi recenti a privati sfruttano email con avvisi fasulli di forniture elettriche non pagate, tasse da saldare e simili, che ora risultano credibili esattamente perché questi settori comunicano sempre di più in modo digitale con i propri clienti».Gli sforzi messi a terra, dunque, dovranno proseguire. In primis, specifica Del Miglio, «investendo in persone. Molte aziende faticano a trovare e crescere professionisti capaci, per cui si affidano a terzi». Occorre comprendere però, «che la cybersecurity non è una funzione che può essere esternalizzata: è necessario creare competenze distintive interne». Soprattutto considerando come le organizzazioni che assumono e formano giovani interessati alla sicurezza hanno quasi tutte matrice estera. In Italia, invece, «nonostante molteplici iniziative finalizzate alla formazione, manca un centro di eccellenza capace di formare un numero sufficiente di giovani, preparandoli a ruoli importanti». Per questo, conclude Del Miglio, «crediamo sia utile creare un security champion nazionale, anche richiamando in Italia alcuni degli specialisti che ora ricoprono ruoli importanti in multinazionali all’estero». (riproduzione riservata)
Fonte: