Nel mondo, poco più di un'azienda su tre svolge efficaci azioni di monitoraggio sulle minacce del cybercrimine e degli incidenti informatici. E in Italia la percentuale è ancor più bassa. Nuove preoccupazioni, nel sempre caldo tema della sicurezza It, emergono da uno studio realizzato da Accenture e da Oxford Economics in 15 Paesi del mondo, Stivale incluso. Solo il 34% dei circa duemila executive di sicurezza coinvolti nel sondaggio si è sentito di poter affermare che la propria azienda è “sufficientemente competente nel monitoraggio di minacce significative per il business”, e la quota scende al 29% se si considerano i soli intervistati italiani. Di contro, un abbondante 73% ha ammesso che la propria organizzazione non è in grado di proteggere i propri asset più importanti né, talvolta, di capire quali siano.
E attenzione, si tratta non di Pmi sprovvedute o prive di risorse da investire, ma di grandi realtà imprenditoriali con fatturato superiore al miliardo di dollari. Il problema, probabilmente, non si risiede nei budget, che anzi negli ultimi anni sono cresciuti e ancora cresceranno: dagli 84 miliardi di dollari spesi dalle aziende nel 2015 ai 125 miliardi stimati per il 2020 da uno studio dell'Atlantic Council e di Zurich Insurance, tanto per citare qualche numero. Si tratta di cifre importanti, pur se inferiori al giro d'affari del cybercrimine.
La radice del problema, allora, va ricercata altrove. “Sebbene negli ultimi anni le aziende abbiano potenziato la propria sicurezza, il loro progresso in questo senso non è andato di pari passo con il grado di sofisticatezza raggiunto da hacker sempre più preparati e aggressivi in un momento storico in cui le tecnologie stanno esprimendo al massimo le proprie potenzialità portandoci in una nuova era industriale”, ha commentato Paolo Dal Cin, managing director, Accenture Security Lead per Italia, Europa Centrale e Grecia. “È necessario un approccio nuovo da parte delle aziende, che preveda un lavoro di analisi preventiva volta sia a ridefinire gli ambiti e le attività sui cui assicurare un livello di protezione adeguato, sia a stabilire i reali punti di debolezza su cui intervenire. Non bisogna poi tralasciare il fatto che oggi le aziende operano in ecosistemi digitali sempre più estesi”.
Il "Security Index" di Accenture ha lavorato in questa direzione, aggregando i punteggi ottenuti dalle aziende (di 15 Paesi e 12 settori di mercato) su 33 indicatori e definendo un nuovo benchmark. Il dato di fondo è desolante: l'impresa media presenta elevate performance solo in 11 dei 33 ambiti di cybersecurity analizzati. Tra chi ha ottenuto i punteggi più alti, inoltre, solo il 9% è riuscito a raggiungere performance elevate in più di 25 ambiti.
Su questa media si innestano poi alcune differenze geografiche e di settore. L'Italia, come si diceva, è solo undicesima nella classifica dei 15 Paesi, dove invece spiccano nell'ordine il Regno Unito, la Francia e il Brasile. Le imprese britanniche hanno raggiunto punteggi elevati nel 44% degli ambiti presi in considerazione, e in particolare si sono distinte per il buon livello di collaborazione con soggetti terzi nella gestione delle crisi e per la pronta comunicazione degli incidenti informatici. Gli Stati Uniti sono al quinto posto, mentre la pecora nera è la Spagna, dove in media le aziende raggiungono punteggi alti solo in sette dei 33 ambiti.
Per quanto riguarda invece i settori di mercato, si dinstinguono in positivo le società di telecomunicazioni, con buoni punteggi in undici ambiti e in particolare nella capacità di protezione e ripristino degli asset chiave e nel monitoraggio di minacce rilevanti. Gli istituti bancari, invece, si destreggiano bene nell'analisi “what if” delle minacce e nella protezione di soggetti terzi all’interno del proprio ecosistema aziendale esteso. Le società a elevato contenuto tecnologico sono le migliori in sette ambiti, tra cui la capacità di creare una cultura della sicurezza e il ripristino dopo incidenti informatici.