In tema di cybersicurezza, per le aziende tra il dire e il fare c’è davvero di mezzo il mare. Oppure, per usare la terminologia scelta da British Telecom e Kpmg in uno studio congiunto, appena pubblicato, c’è di mezzo un gap preoccupante. L’indagine è stata realizzata in collaborazione con Vanson Bourne, che ha aiutato a interpellare responsabili It, resilience e business operations di grandi aziende (clienti di Bt e di Kpmg) negli Stati Uniti, nel Regno Unito, a Singapore, in India e in Australia. Dalle interviste emergono una serie di discrepanze fra la consapevolezza dei rischi (tendenzialmente molto elevata) e la (invece scarsa) presenza di strategie mirate.
Qualche esempio? Fra gli intervistati, il 94% dei decisori It è consapevole del fatto che i criminali informatici prendano iniziative per ricattare e corrompere i dipendenti allo scopo di ottenere accesso alle reti e ai dati delle aziende. Eppure, uno su due (il 47%) ammette di non avere in atto una strategia per impedire che questo accada. Similmente, oltre metà delle organizzazioni (55%) hanno osservato in incremento di attacchi informatici ma meno di un quarto (23%) ha sottoscritto assicurazioni che coprano la maggior parte dei danni. E ancora: il 71% delle grandi aziende ha definito delle procedure di indagine su strumenti e metodi di attacco dei cybercriminali, ma soltanto il 30% è in grado di comprenderle.
Tutto questo accade mentre è quasi impossibile dirsi immuni dal rischio informatico, tant’è che il 97% degli intervistati ha detto di aver subìto un attacco. E tuttavia – ennesima contraddizione, che riassume tutte le altro – poco più di un quinto, il 22% dei professionisti, pensa che la propria azienda sia ben preparata per gestire analoghi incidenti in futuro.
Di chi è la colpa? Un buon 91% di intervistati ritiene di trovarsi ad affrontare difficoltà nella difesa dagli attacchi digitali. Molti citano ostacoli normativi, altri (60%) l’insufficienza dei budget a disposizione o la difficoltà ad attingervi, mentre altri ancora (44%) si dicono preoccupati della dipendenza da terze parti per aspetti legati alla loro capacità di risposta. Un punto importante identificato nel report è la grande portata della “spesa in ricerca & sviluppo”, per così dire (ma è tecnicamente l’unico modo per dirlo) che i criminali informatici possono sostenere per migliorare continuamente i loro prodotti e le loro tecniche, superando così le barriere di difesa delle aziende.
Per dirla con le parole di Mark Hughes, Ceo di Bt Security, “il cybercriminale del ventunesimo secolo è un imprenditore spietato ed efficiente, supportato da un mercato nero molto sviluppato e in rapida evoluzione”. Fra i due fronti – da un lato le organizzazioni, dall’altro i cybercriminali – è in atto una vera e propria corsa agli armamenti. La velocità di questa corsa, come abbiamo visto, non è certo la medesima su entrambi i fronti. A detta di Hughes, davanti alla continua espansione ed evoluzione del crimine informatico “è necessario un nuovo approccio al rischio digitale - e questo significa mettersi nei panni di chi porta avanti gli attacchi. Le aziende hanno bisogno non solo di difendersi dagli attacchi informatici, ma anche di creare problemi alle organizzazioni criminali che li lanciano. Dovrebbero certamente lavorare a più stretto contatto con le forze dell'ordine, oltre a partner nel mercato della sicurezza informatica”.
Concorda sostanzialmente con questo punto di vista l’analisi di Paul Taylor, a capo della divisione cybersecurity di Kpmg nel Regno Unito: “È tempo di pensare al rischio informatico in modo diverso, abbandonando il semplice concetto di hacker e riconoscendo che le nostre imprese sono prese di mira da imprenditori del crimine senza scrupoli, che hanno un business plan, che dispongono di ampie risorse e che si occupano di frodi , estorsioni o furti di proprietà intellettuale di valore”.
Parlare genericamente di rischio informatico, dunque, non ha più molto senso. “Occorre pensare a credibili scenari di attacco ai danni dell’azienda e considerare come la sicurezza informatica, il controllo delle frodi, e la resilienza del business possano lavorare insieme per prevenire e affrontare queste minacce”, sottolinea Taylor. Qualche passo concreto, in ogni caso, è stato compiuto. Figure professionali che rientrano nel ruolo del chief digital risk officer (Cdro) iniziano a comparire nelle aziende: il 26% degli intervistati ha citato nomine di questo tipo all’interno della propria organizzazione. A detta delle stesse Bt e Kpmg, tra le righe del report si intuisce come il ruolo della sicurezza It e le relative responsabilità siano in fase di riesame all’interno delle aziende. In attesa di colmare completamente il gap fra convinzione e azione.