Quanto sono mature e preparate le aziende europee in fatto di cybersicurezza? Quante hanno al loro interno personale esperto di sicurezza informatica? Quante hanno definito una strategia per ridurre e tamponare il rischio di attacchi, di incidenti, di perdita di dati? Non troppe. Secondo il nuovo studio “Digital Maturity in Cybersecurity”, realizzato da Minsait (società del gruppo Indra), appena un’azienda su dieci ha al suo interno dei professionisti specializzati in cybersecurity, solo il 18% conserva dei registri aggiornati degli asset digitali da proteggere e solamente il 27% ha definito strumenti di incentivazione, formazione e comunicazione ai dipendenti sul tema della sicurezza informatica.
Sale un po’, ma è ancora un parzialissimo 55%, la quota di aziende che hanno al loro interno un Cybersecurity Operations Center, per rilevare e rispondere a un attacco informatico. L’indagine si basa su un centinaio di interviste realizzate con altrettanti manager di grandi aziende e organizzazioni europee e con alcuni esperti di cybersicurezza.
Si tratta sicuramente di percentuali insoddisfacenti, se non preoccupanti, specie considerando che nel 2020 il numero di attacchi informatici è cresciuto in modo drammatico in tutto il mondo, anche sull’onda della pandemia. I cybercriminali hanno sfruttato le paure delle persone per sferrare attacchi di phishing in tema covid e dintorni e hanno dirottato parte delle loro attenzioni verso le reti domestiche e i computer personali degli utenti in smart working.
“I dati evidenziano una mancanza di visione strategica in termini di cybersecurity”, ha commentato Francesco Casertano, security lead di Minsait in Italia. “Le aziende italiane devono passare da un approccio tattico a uno strategico: non si tratta solo di acquisire strumenti di protezione specifici, ma di adottare una strategia globale insieme a partner specializzati, con una visione completa delle nuove minacce”. A detta di Casertano, una strategia di cybersicurezza ben concepita e messa in pratica non è solo uno strumento di difesa contro gli attacchi informatici ma anche un fattore abilitante per il business.
Problemi di identità e di ruoli
Gli attacchi, come sappiamo, non crescono soltanto a volume ma aumenta anche la loro complessità. Minsait sottolinea che il 90% degli attacchi si avvale di tecniche di ingegneria sociale per superare le difese delle aziende e che durante la pandemia il fenomeno del phishing ha avuto una vera e propria esplosione. Nonostante tutto ciò, poco più di un’azienda europea su cinque (il 22%) ha adottato sistemi di gestione centralizzata delle identità.
Altro aspetto critico, come si diceva, è quello della mancanza di competenze interne alle aziende. Questa mancanza spesso si riflette sulla imperfetta definizione dei ruoli in organigramma: il 68% delle aziende non ha ancora al suo interno un responsabile della sicurezza delle informazioni, cioè un Ciso (chief information security officer) o suolo analogo, che si occupi della sicurezza dei dati e dell’allineamento di essa con gli obiettivi aziendali. Inoltre, l’82% delle aziende non ha registri aggiornati degli asset digitali da proteggere e il 90% non utilizza le tecniche di cybersecurity più avanzate.
Felici eccezioni
In questo quadro generale non confortante, spiccano in positivo alcune eccezioni. Le le aziende dei settori bancario, assicurazioni, energia, telecomunicazioni e media, si distinguono dalle altre per una maggiore maturità sul tema della sicurezza informatica, per i più elevati investimenti in nuove tecnologie e per l’adozione di soluzioni più innovative. “Le aziende più avanzate”, ha commentato Casertano, “hanno articolato una visione a lungo termine e sono impegnate nella cybersecurity come pilastro chiave per la crescita e la sostenibilità del loro business. Un fattore che hanno anche saputo trasformare in una leva per migliorare i servizi che forniscono digitalmente ai loro clienti”.