Insufficiente il “dialogo” tra responsabili IT e top management nelle aziende. Serve una riorganizzazione in grado di contrastare il boom di cyberattacchi e valorizzare gli investimenti in security. Emerge da un report Trend Micro secondo cui gli attacchi ransomware nel 2020 sono aumentati del 150% su base annua con un raddoppio della quantità media di estorsioni. Un trend che mette a rischio le organizzazioni vittima non solo dal punto di vista finanziario ma anche reputazionale: il costo medio di una violazione supera i 4,2 milioni di dollari, ma la cifra può raggiungere livelli più elevati se è coinvolto il ransomware.
Lo scenario in Italia
In particolare, in Italia il 94% dei responsabili IT e di business italiani è particolarmente preoccupato dagli attacchi ransomware, ma nonostante questo timore, solo il 63% degli incaricati IT discute dei rischi cyber con il management almeno una volta alla settimana.
“Un tempo passavano mesi o addirittura anni, prima che le vulnerabilità venissero sfruttate in seguito alla loro scoperta – spiega Lisa Dolcini, Head of Marketing di Trend Micro Italia -. Ora possono passare ore o anche meno. I manager capiscono di avere la responsabilità di essere informati, ma spesso si sentono sopraffatti dalla rapidità con cui il panorama della sicurezza informatica evolve. I responsabili IT devono comunicare con il management per identificare i rischi che l’organizzazione corre, e come gestirli al meglio”.
In rialzo gli investimenti in cybersecurity
“Fortunatamente – si legge nel report – gli attuali investimenti IT non sono così bassi”. Il 57% del campione ha affermato che la propria organizzazione sta investendo di più in cybersecurity, per mitigare il rischio aziendale. La sicurezza ha superato aree più tradizionali come la trasformazione digitale (56%) e della forza lavoro (52%). Circa il 45% dei responsabili di business e il 62% di quelli IT hanno poi affermato di aver recentemente aumentato gli investimenti per mitigare i rischi di attacchi ransomware e violazioni della security.
Tuttavia, un basso coinvolgimento del management in combinazione con un aumento degli investimenti suggerisce una tendenza a spendere maggiormente per risolvere i problemi, piuttosto che per comprendere a pieno le sfide della sicurezza informatica e investire in modo appropriato. Questo approccio, si legge ancora nel report, “può danneggiare le strategie più efficaci e rischiare di generare perdite finanziarie maggiori”.
Solo il 46% degli intervistati ha inoltre affermato che concetti come “rischio informatico” e “gestione del rischio informatico” sono conosciuti nella loro organizzazione. Il 74% vorrebbe, infine, che più persone si occupassero della gestione e della mitigazione dei rischi e questo aiuterebbe a promuovere una cultura a livello aziendale di “security by design“.
Scarsa “connessione” fra board e reparto IT
L’82% dei responsabili delle decisioni IT si sono sentiti spinti a minimizzare la gravità dei rischi informatici “a beneficio” del consiglio di amministrazione. Quasi un terzo afferma che si tratta di una pressione costante. L’attrito tra top management e IT si estende a tutta l’organizzazione. Solo un manager IT su due e il 38% dei decisori aziendali ritengono che il proprio team di gestione comprenda appieno i rischi informatici. Per il 26% dei leader IT, questa mancanza di comprensione da parte dei manager è dovuta a uno sforzo insufficiente e per il 20% è semplicemente un rifiuto di capire.