Cybersecurity: non solo strumento difensivo ma anche fattore abilitante per il business. Eppure la quota prevalente di imprese italiane non è pronta ad affrontare l’aumento esponenziale di attacchi informatici mettendo in pericolo il proprio futuro nell’era digitale, in cui lo smart working moltiplica il rischio informatico e l’e-commerce cresce esponenzialmente.
Emerge dal rapporto sulla Digital Maturity in Cybersecurity realizzato da Minsait, secondo cui il 90% delle aziende non ha professionisti specializzati in cybersecurity, l’82% non ha registri aggiornati degli asset digitali da proteggere, il 73% non ha implementato meccanismi di consapevolezza per i propri dipendenti e solo il 55% ha un Cybersecurity Operations Center per rilevare e rispondere a un attacco informatico.
Unici settori a distinguersi Tlc e media, bancario, assicurazioni ed energia che stanno investendo in nuove tecnologie e ricerca di risposte innovative alle sfide.
Il panorama dei nuovi attacchi informatici
Tutto questo in un contesto di maggiore insicurezza informatica dovuta alla pandemia: il phishing è aumentato del 6.000% e, solo in Italia, il 40% delle grandi aziende ha subito un aumento dei cyber-attacchi nell’ultimo anno
Nonostante l’aumento delle minacce, il 73% delle aziende non dispone degli strumenti necessari di incentivazione, formazione e comunicazione per i propri professionisti, stando al Report di Minsait. Inoltre, il 90% delle aziende non ha ancora incluso nel proprio organico profili di professionisti specializzati in quest’area.
Cybersecurity, servono strategie (e non tattiche)
“I dati evidenziano una mancanza di visione strategica in termini di cybersecurity – dice Francesco Casertano, Security Lead di Minsait in Italia –. Le aziende italiane devono passare da un approccio tattico a uno strategico: non si tratta solo di acquisire strumenti di protezione specifici, ma di adottare una strategia globale insieme a partner specializzati con una visione completa delle nuove minacce”.
Questo perché “una strategia di cybersecurity ben concepita e implementata – prosegue Casertano – non è solo uno strumento difensivo contro gli attacchi informatici. Una strategia ben pianificata può anche trasformare la protezione in un fattore abilitante per il business, incorporando nella proposta di valore una componente differenziale di sicurezza per clienti e cittadini”.
Identità, manca una gestione centralizzata
Nonostante la crescente necessità di protezione, solo il 22% delle aziende ha implementato una gestione centralizzata dell’identità, in un momento in cui il furto di identità digitale e di password è tra i principali ambiti sotto attacco. La mancanza di protezione delle aziende si riflette anche nel fatto che solo il 55% delle organizzazioni si basa su un Cybersecurity Operations Center, che è essenziale per rilevare gli attacchi ed essere in grado di reagire, secondo Minsait.
La mancanza di protezione delle aziende diventa ancora più grave tenendo conto che il 90% degli attacchi informatici si avvale di tecniche di ingegneria sociale per superare le difese delle aziende.
Tuttavia, il 68% non ha ancora la figura di un Chief Information Security Officer, come manager responsabile della sicurezza delle informazioni e del suo allineamento con gli obiettivi aziendali. Inoltre, l’82% delle aziende non ha registri aggiornati degli asset digitali da proteggere e il 90% non utilizza le tecniche di cybersecurity più avanzate, aspetti essenziali per avere una protezione completa.
“Le aziende più avanzate hanno articolato una visione a lungo termine e sono impegnate nella cybersecurity come pilastro chiave per la crescita e la sostenibilità del loro business – conclude Casertano -. Un fattore che hanno anche saputo trasformare in una leva per migliorare i servizi che forniscono digitalmente ai loro clienti”.