Le aziende sono sempre di più alle prese con la necessità di contenere i rischi cyber, ma oggi la vera urgenza è portare questo problema al di fuori dell’area specialistica IT che se ne è occupata finora: serve che sia dibattuto invece ai livelli apicali, e che il CEO/ il top management dell’azienda risponda in primis all’obiettivo di mantenere elevato il Trust dell’azienda.

Il tema è stato analizzato nella Survey “Cyber Risk Management 2020”, condotta da The Innovation Group tra dicembre 2019 e gennaio 2020 su un campione di 74 aziende, dei diversi settori e di diversa dimensione aziendale: l’indagine sarà presentata pubblicamente durante il CYBERSECURITY SUMMIT 2020, il prossimo 2 luglio a Roma, evento annuale dedicato ai temi della messa in sicurezza di processi, infrastrutture e persone.

Quale dovrebbe essere oggi il ruolo del CEO/ del top management nello sforzo di tenere sotto controllo i rischi cyber? Secondo i rispondenti alla survey (i Manager oggi coinvolti nelle attività di mitigazione e risposta agli incidenti cyber) al primo posto viene indicato il fatto di considerare questo problema a tutti gli effetti come parte del business dell’azienda. Tenerne conto in ogni attività in cui può essere colto, e quindi, vista l’odierna diffusione del digitale, nell’uso di device di ogni tipo, di servizi cloud, della mobility, e nella progressiva digitalizzazione di tutti i processi digitali. E’ infatti evidente che rischi di malfunzionamento, perdita di informazioni critiche o addirittura sospensione delle attività pervadono oramai quasi ogni attività del business.

Al secondo posto, in termini di importanza, il tema della messa in sicurezza anche della supply chain, quindi dei collegamenti verso terze parti e fornitori dell’azienda: secondo l’82% dei rispondenti questo è un aspetto che è “molto o moltissimo importante”. Sarebbe quindi ruolo del top management dell’azienda quello di imporre l’adozione di standard di sicurezza alle proprie terze parti.

Dalla terza posizione, 4 aspetti hanno ricevuto un punteggio simile in termini di importanza:

l’INFOSHARING è indicato come prioritario dal 65% delle aziende. Probabilmente non ancora molto noto al vertice delle aziende, l’Infosharing abilita la condivisione di informazioni relative agli attacchi e agli incidenti subiti con altre aziende (del proprio settore oppure di settori diversi), polizia e law enforcement, esperti ed agenzie di cybersecurity, con il fine di costruire una “resilenza di sistema”.

Aspetto di pari importanza, COLLABORARE con altri Top Executive, Policy Maker e Regolatori, identificando strategie comuni di difesa cyber. Il CEO/il top management delle aziende dovranno sempre più farsi carico di instaurare partnership di alto livello, sia all’interno del proprio settore, sia all’esterno, stringendo rapporti con Agenzie pubbliche e Policy maker. Solo in questo modo sarà infatti possibile realizzare una resilienza a livello di ecosistemi più ampi.

Anche sul fronte dell’EDUCAZIONE DEI CLIENTI, e quindi di una Cybersecurity che sia il più possibile inscritta by default nella realizzazione dei prodotti e servizi dell’azienda, è fondamentale l’impegno del vertice aziendale. Ad esempio, con la crescita dell’economia Digitale e quindi l’ampliamento della gamma di servizi offerti attraverso i nuovi canali digitali, sarà sempre più importante fornire ai clienti chiare linee guida su come proteggere la propria identità digitale e i propri dati.

La digitalizzazione fa ogni giorno passi da gigante, la sicurezza ICT ha difficoltà a tenere il passo. I Regolatori stanno spingendo sempre di più verso una CERTIFICAZIONE DI CYBERSECURITY: il vertice aziendale dovrà prendere in considerazione questa possibilità, capirne il valore (e in alcuni casi l’obbligo), e pensare anche all’adozione di un CODICE ETICO di comportamento online specifico per il proprio settore.

Ultimo aspetto, considerato comunque importante da 1 azienda su 2, quello del SECURITY-BY-DESIGN, un’esigenza che secondo le persone intervistate dovrebbe diventare prioritaria in futuro, anche rispetto al time-to-market.