Da un lato le ragioni del business, dall'altra quella della sicurezza informatica: due mondi ancora parecchio distinti, spesso anche in contrapposizione. E che invece dovrebbero collaborare di più, per il bene dell'azienda. Da una maggiore intesa tra chief information secuirty officer (Ciso), da un lato, e dirigenti aziendali di ruolo elevato, dall'altro, deriverebbero strategie di cybersicurezza più azzeccate ed efficaci, come sottolineato da uno studio di Accenture Research, svolto intervistando 1.460 manager di grandi imprese (da almeno un miliardo di dollari di fatturato annuo, operanti in 14 settori e distribuite in 16 paesi tra Nord e Sud America, Europa e Asia Pacifico. I partecipanti all'indagine, titolata "Securing the Future Enterprise Today" sono equamente distribuiti tra Ciso o ruoli equivalenti, e amministratori delegati o altri dirigenti C-level.
Ne è emersa una chiara contraddizione: per quasi tre quarti, il 73%, degli intervistati, la responsabilità della cybersecurity dovrebbe essere spartita su tutte le aree o divisioni dell'azienda, eppure nel 74% dei casi è centralizzata, come se fosse un tema astratto da tutto il resto. Spesso, sottolinea Accenture, i Ciso al di fuori dei propri dipartimenti riescono a far sentire poco la propria voce, sovrastati dall'autorità dei C-level. Va anche detto che altre volte i responsabili della sicurezza fanno di testa loro: solo il 40% dei Ciso ha dichiarato di essersi sempre consultato con i direttori delle diverse aree aziendali per capire le esigenze di business prima di proporre una strategia di sicurezza. E appena in un caso su quattro i direttori delle business unit (non Ciso) hanno responsabilità in materia di sicurezza informatica.
Nel complesso le grandi aziende, a dispetto dei loro mezzi, sembrano fare ancora troppo poco per migliorare la propria cybsicurezza e la propria resilienza (termine oggi molto in voga, anche nell'ambito informatico) di fronte ai rischi. Solo in una realtà su due tutti i dipendenti ricevono formazione sulla sicurezza informatica al momento del loro ingresso in azienda e poi con aggiornamenti periodici.
Per dare priorità alle esigenze di sicurezza informatica, quindi, servirebbe un approccio più collaborativo e “trasversale”. Quasi la metà dei Ciso intervistati, inoltre, riconosce che le proprie responsabilità in materia di cybersicurezza crescono più rapidamente della capacità di affrontare i problemi. Problemi che certamente non mancano, anzi aumentano. Tra le preoccupazioni degli intervistati spicca innanzitutto l'Internet of Things: per il 77% dei manager questo fenomeno è responsabile di un incremento “significativo o moderato” del rischio informatico nella propria azienda. Per il 74%, inoltre, l'eventualità di attacchi o episodi di perdita di dati crescerà a causa dei servizi cloud, che paradossalmente risultano far parte della strategia di sicurezza solo nel 44% delle grandi aziende. Anche il fatto di condividere dati all'esterno, con partner commerciali o con altre aziende, per il 70% dei dirigenti provoca un incremento del rischio: eppure solo il 39% delle imprese ha già pensato a come proteggersi efficacemente da questo punto di vista. Se non altro c'è una notizia discretamente buona, e cioè che i due terzi delle realtà enterprise si sentono già pronte ad affrontare l'ascesa dei rischi.
Accenture completa il quadro con l'elenco di cinque raccomandazioni, seguendo le quali è possibile garantire resilienza all'azienda rispetto al rischio informatico. Numero uno: la cybersicurezza dev'essere tenuta in considerazione nel momento in cui si definiscono strategie aziendali di qualsiasi tipo. Insomma, deve entrare nelle discussioni e valutazioni di business e non rappresentare un'aggiunta posticcia o una forzatura, slegata dal modo in cui gli utenti lavorano o dagli obiettivi commerciali dell'azienda.
Servono, in secondo luogo, nuove competenze specifiche e nuovi ruoli relativi alla cybersecurity. Il terzo consiglio è complementare al precedente: tutti i dipendenti devono essere responsabili della sicurezza informatica e contribuire a rafforzarla, insomma la forza lavoro dev'essere parte della soluzione e non del problema. In quarto luogo, le aziende dovrebbero concentrarsi non solo sulla propria resilienza ma anche sulla protezione dei dati dei clienti, senza limitarsi ai puri obblighi normativi. Infine, suggerisce Accenture, la difesa dei dati e delle applicazioni va estesa a tutto l'ecosistema in cui un'azienda opera e ai partner con cui collabora.