Nonostante l’aumento delle minacce, sono ancora poche le aziende che hanno registrato progressi sostanziali nel campo della sicurezza informatica: è quanto risulta dal report di McKinsey “Organizational cyber maturity: a survey of industries”, che analizza il livello di maturità informatica delle aziende in diversi settori, per definire il livello di maturità della sicurezza informatica di oltre 100 aziende e istituzioni.
Secondo la fotografia scattata da McKinsey le aziende si stanno muovendo per raggiungere un livello di cybersecurity basato sulla riduzione del rischio e sulla resilienza, ma hanno ancora bisogno delle capacità di base necessarie per garantire la stabilità digitale e la fiducia dei clienti. Sette le aree, secondo la società di analisi di mercato, in cui è necessario focalizzare l’attenzione: la definizione di una roadmap chiara per definire le priorità, l’inserimento di risorse dedicate tra il personale di prima linea, l’integrazione della resilienza informatica nei processi a livello aziendale, lo sviluppo di risposte integrate agli incidenti, l’inserimento della sicurezza negli ambienti tecnologici, la fornitura di livelli di protezione per le risorse più importanti e l’attivazione di azioni di cyber intelligence e awareness delle vulnerabilità, oltre a monitoraggio e analytics.
Lo scenario non è però uguale in tutti i verticali: a essere più preparate ad affrontare i rischi legati alla cybersecurity sono infatti i settori bancario e della sanità, che nel tempo hanno registrato più progressi.
In generale però, secondo la ricerca, soltanto il 10% delle aziende intervistate si sta avvicinando alle funzioni avanzate di cybersecurity: sono quelle che gestiscono e misurano i controlli di sicurezza e privacy in un quadro di rischio aziendale, fissano soglie di propensione al rischio e includono tutti gli stakeholder nella modalità operativa della sicurezza informatica.
Più ampia la fetta delle aziende che sono impegnate a stabilire un modello operativo e un’organizzazione per professionalizzare una funzione di sicurezza informatica, adottando un approccio al rischio informatico basato sulla maturità: si tratta in questo caso del 20% del campione.
La maggioranza, pari al 70%, deve invece ancora fare progressi importanti verso un approccio basato sulla cyber maturity, colmando le lacune costruendo e rafforzando i fondamenti di sicurezza e resilienza, passando poi a stabilire un modello operativo e un’organizzazione per professionalizzare una funzione di sicurezza informatica
Ma cosa a portato il comparto bancario, dei beni e servizi di consumo e della sanità a sviluppare una maggiore maturità nel campo della sicurezza informatica? McKinsey individua tra le principali motivazioni il fatto che il contesto normativo di questi settori richieda un maggior controllo, con il rischio di sanzioni in caso di inadempienza. Ma un ruolo centrale lo hanno giocato anche le aspettative dei consumatori, che chiedono sempre più controlli attenti sulla privacy. Uno scenario che genera pressioni competitivi tra i player, con il rischio che gli utenti si muovano verso competitor “più attrezzati” per rispondere alle esigenze emergenti degli utenti.
Proprio questo panorama, secondo l’analisi di McKinsey, contribuisce a creare un legame tra la maturità informatica e la redditività. Lasciando da parte le differenze per settore industriale, le organizzazioni che raggiungono i più alti livelli di sicurezza informatica sono più spesso, secondo il report, di grandi dimensioni e di proprietà pubblica.
La maggior parte delle aziende analizzate ha inoltre buoni risultati nello svolgimento delle attività essenziali in ambito cybersecurity, in termini di comunicazione dei requisiti di sicurezza informatica a fornitori e terze parti, garantendo che i dati aziendali critici possano essere utilizzati, gestendo la sicurezza dell’accesso remoto e comunicando politiche e standard di sicurezza informatica in tutta l’organizzazione, migliorando continuamente standard e politiche in questo ambito.
Tra le attività più impegnative evidenziate dalla ricerca c’è la mappatura dell’organizzazione e dei flussi di dati, insieme all’implementazione delle simulazioni di risposta alle minacce informatiche. Proprio in considerazione di questi aspetti le organizzazioni “più mature” sono quelle che sono più attiva nella revisione e nell’aggiornamento delle priorità di sicurezza informatica, che accedono a soluzioni per il provisioning e il deprovisioning per la maggior parte delle applicazioni e che riescono a scansionare con regolarità l’ambiente IT alla ricerca di vulnerabilità, creando una banca dati di intelligence rispetto a minacce standard e specifiche.
