RISK MANAGEMENT

Una cybersicurezza efficace non tenta di prevenire tutti gli attacchi

Parlo di cybersicurezza con centinaia di executive ogni anno. Il più grosso errore che vedo fare alle aziende è considerare la cybersicurezza un problema esclusivamente tecnologico, la cui soluzione viene demandata all’IT. Ma le cose non stanno così. È un’opportunità di importanza critica che concerne l’impresa nella sua totalità.

Se l’obiettivo finale è impedire un evento negativo, le aziende sprecano quasi sempre tempo e denaro in tentativi inutili di costruire un muro impenetrabile di sistemi difensivi. Anche se fosse possibile costruire un muro sicuro al 100%, non sarebbe in grado di proteggere la mole sempre più imponente di dati sensibili che attraversano il firewall tramite dispositivi e sistemi che sfuggono al controllo diretto dell’azienda.

È molto importante concentrarsi su due cose: identificare e proteggere il patrimonio cyber strategicamente importante dell’azienda e capire in anticipo come limitare i danni quando si verifica un attacco.

Scegliete le aree da proteggere

Viviamo in un mondo nel quale sempre più prodotti sono connessi a Internet - non solo computer e telefoni, ma anche elettrodomestici, sistemi di allarme e congegni di apertura delle porte dei garage. Anche se non lo sanno, i clienti mettono in comune enormi quantità di dati personali e sull’utilizzo dei dispositivi tutte le volte che attivano un prodotto o usano un servizio.

Le aziende che hanno in custodia questi dati devono rendersi conto che la cybersicurezza e la protezione dei dati non sono più solo rischi informatici; sono rischi strategici di altissimo profilo. Ci sono in gioco reputazioni, brand e ricavi. Entro certi limiti, i CEO ne sono consapevoli. Stando al nostro studio “CEO Outlook”, la cybersicurezza è attualmente la preoccupazione più importante per i numeri uno delle aziende. Ma anche se danno l’impressione di intendere la strategia come una serie di scelte – sulle aree in cui l’azienda può aspirare all’eccellenza e su quelle in cui non vale la pena di competere – gli executive adottano un approccio “standardizzato” alla cybersicurezza, spalmandola in ugual misura sull’intera azienda.

Ecco perché sottolineo l’importanza di un modello di cyber risk management che inizia con la focalizzazione sui fattori di business che determinano la crescita e la profittabilità e finisce con l’infrastruttura tecnologica. È l’opposto dell’approccio tradizionale, ma è molto più efficace. Gli investimenti in cybersicurezza non si possono mettere tutti sullo stesso piano; alcuni sono semplicemente più importanti di altri.

Per esempio, sono venuto a sapere recentemente che il chief security officer (CSO) di una grande compagnia di assicurazioni investiva gran parte del suo tempo, e milioni di dollari, nella protezione informatica della rete agenziale, un gruppo eterogeneo di migliaia di agenti che interagiscono direttamente con gli assicurati. Gli agenti non sono dipendenti della compagnia, e i sistemi che impiegano non sono controllati dalla compagnia, anche se raccolgono e processano dati sui clienti. È un dilemma reale che si pone a molti specialisti di sicurezza informatica: come posso proteggere qualcosa che non fa parte del mio ambiente ma potrebbe incidere sul brand e sulla fiducia dei clienti ripongono in noi?

All’epoca, il CSO non sapeva che la sua compagnia aveva in progetto di modificare il proprio modello di business e voleva smantellare la rete agenziale entro due o tre anni, per cui di lì a poco gran parte di quello che aveva fatto sarebbe diventato inutile. Le aziende che sono in grado di parlare in anticipo dei cambiamenti e dei piani che intendono adottare possono costruire strategie adattive, agili ed efficaci di cybersicurezza.

Anche se tra i CEO che hanno partecipato all’indagine di KPMG, solo uno su cinque diceva di essere a disagio di fronte alla nuova responsabilità di limitare il rischio di attacchi informatici, una delle loro priorità dovrebbe essere assicurare un maggiore allineamento tra le rispettive business unit e l’IT, rispetto a quello che si registra oggigiorno.

Come in qualunque strategia di risk management, gli executive devono analizzare l’intera organizzazione e valutare gli asset di cybersicurezza dell’azienda, inclusi gli investimenti in sistemi tecnologici e nei professional ultra qualificati che li gestiscono. Assicuratevi che questi investimenti siano in linea sia con i bisogni attuali dell’azienda, sia con la possibile evoluzione del suo modello di business nei prossimi tre-cinque anni.


Preparatevi a subire degli attacchi informatici

Una volta identificati i rischi principali a cui sono esposti i “gioielli della corona” e i processi di business dell’azienda, occorre formulare dei giudizi informati e finanziariamente accettabili su ciò che si può sistemare e su ciò che si può monitorare attentamente su base continuativa. Anche se fa male pensarci, è probabile che a un certo punto le vostre difese vengano violate comunque, ed è meglio avere già pronto un piano per affrontare questi attacchi dolorosi ma ormai comuni.

Una formazione alla cybersicurezza che si evolva continuamente in base al mutamento delle circostanze e all’evoluzione dei ruoli esercitati dal personale è assolutamente essenziale. I dipendenti dovrebbero conoscere le best practice della cybersicurezza e saper identificare software maligni o tentativi di phishing. Troppe aziende non hanno ancora capito quanto sia importante una formazione continuativa dei dipendenti.

Effettuate valutazioni periodiche del rischio informatico, concentrandovi sui dati più importanti per l’azienda e sulle priorità di business, e fate delle simulazioni controllate per capire come reagiscono l’azienda e i suoi dipendenti. Qual è la catena di comando aziendale nel caso di un attacco informatico? Come comunicherete con i mezzi di informazione e con i clienti?

Un’indagine che abbiamo condotto di recente indica che in molte aziende questo tipo di pianificazione contro gli imprevisti non si fa. Quasi un terzo (il 31%) dei dirigenti intervistati hanno detto che le loro aziende non avevano nominato un responsabile della cybersicurezza, mentre il 49% hanno dichiarato di non avere investito fondi nella sicurezza delle informazioni l’anno prima.

Il fatto che così tante aziende non investano in protezione dagli attacchi informatici e non si preoccupino di nominare un responsabile della cybersicurezza induce a pensare che, nonostante la gravità percepita, in molti casi il problema non venga affrontato adeguatamente.

I consumatori vedono del valore delle imprese che offrono più trasparenza, più educazione e più comunicazione sui propri investimenti in cybersicurezza e sulla loro efficacia. Oltre ad avere maggiori probabilità di vincere sul mercato, le aziende che lo fanno con successo possono anche resistere a una eventuale violazione dei sistemi di sicurezza.


Greg Bell, che vive lavora ad Atlanta, è il Co-Global and U.S. Cyber Strategy Leader di KPMG.

Lascia il tuo commento

Condividi le tue opinioni su

Caratteri rimanenti: 2500

Temi più seguiti

Partner center