Ogni dieci euro spesi dalle aziende italiane per questioni riguardanti l’IT, un euro è destinato alla cybersicurezza. Così racconta “The State of Cyber Resilience 2019”, ultima edizione dell’annuale studio realizzato da Accenture intervistando migliaia di responsabili della sicurezza informatica di grandi imprese, sparse in una quindicina di Paesi del mondo. In Italia il tema sembra avere una certa presa nelle aziende, considerando che il 10% dei budget IT è dedicato all’acquisto di hardware, software e servizi di cybersicurezza. Fin qui tutto bene, il problema è che i risultati non soddisfano le aspettative.
Tanto in Italia quanto nel resto del mondo, infatti, i programmi di cybersecurity delle aziende proteggono attivamente solo il 59% degli asset. Inoltre, a detta degli intervistati, i tempi di risposta agli attacchi sono ancora tragicamente lunghi: in Italia per il 40% delle aziende ci vogliono addirittura due settimane per accorgersi di essere stati colpiti e reagire di conseguenza. E va ancor peggio nel resto del mondo, considerando che la media globale delle imprese lentissime ad attivarsi (oltre due settimane dall’attacco) è del 60%.
Accenture ha però individuato un ristretto numero di aziende virtuose, etichettandole come leader in materia di cybersicurezza: si meritano questo attributo perché riescono a bloccare le minacce meglio delle altre, perché più rapidamente si accorgono degli attacchi subìti e ripristinano la situazione di normalità, e perché riescono meglio a contenere i danni. Ma come riescono a essere così brave? Lo studio evidenzia l’influsso positivo di alcuni comportamenti: le aziende leader sono più capaci delle altre di applicare rapidamente nuove soluzioni di sicurezza in maniera estesa, e ciò riduce notevolmente la probabilità che un tentativo di attacco vada a buon fine; si preoccupano di fare formazione ai dipendenti, così da aumentare la loro capacità di riconoscere una minaccia; collaborano, più delle altre, con partner strategici, interlocutori interni, community di settore e consorzi per la sicurezza informatica; sono meglio allineate alle regole sulla gestione dei dati, per esempio quelle del Gdpr.
“Secondo nostri studi, a livello mondiale si stima che possano essere pari a 5.200 miliardi di dollari i costi addizionali e i mancati ricavi delle aziende nel corso dei prossimi cinque anni dovuti ai cyber-attacchi”, illustra Paolo Dal Cin, Accenture Security lead per Europa e America Latina. “Questo evidenzia quanto la cybersecurity non sia solo uno strumento di protezione, ma una leva strategica di innovazione e crescita. Ecco perché aumentare gli investimenti non basta: per renderli realmente efficaci è necessario mettere in campo azioni orientate sia a sviluppare una sempre maggiore cultura della sicurezza all’interno dell’azienda, guardando al dipendente come primo alleato, sia a ottenere una collaborazione continua e proficua con partner, community e istituzioni, estendendo così il perimetro e la capacità di difesa”. Dedicare parte del budget IT alla cybersicurezza dunque è utile, ma per difendersi dal rischio informatico i soldi non bastano.