ESI Thought Lab e Willis Towers Watson hanno recentemente realizzato lo studio The Cyber Security Imperative, sottoponendo un sondaggio a 1.300 imprese con fatturati di entità variabile, da meno di un miliardo di dollari ad oltre 50 miliardi, situate in Europa, Usa, Canada, America Latina e APAC.
La quasi totalità dei manager intervistati (87%), sostiene che il personale inesperto rappresenti il rischio maggiore in ambito crimini informatici. Un dato particolarmente preoccupante, considerando che la formazione del personale è tra i fattori che progrediscono più lentamente, quando misurato rispetto al cybersecurity framework del National Institute of Standards and Technology (NIST).
La ricerca ha inoltre identificato le modalità di attacco informatico più comuni, tra cui figurano i malware/spyware (81%) e il phishing (64%), seguiti da hacker dilettanti (59%) e cyber criminali (57%) come principali minacce esterne. Basandosi sui progressi registrati e confrontati con le indicazioni del cyber security framework del NIST, l’ESI ThoughtLab ha distinto in tre livelli la maturità di un’azienda in ambito cyber security: principiante, intermedio e leader.
Dal sondaggio emerge come la percezione di una minaccia da parte di un’azienda possa variare a seconda della maturità della stessa in materia di cybersecurity. Ad esempio, i ‘leader’ tendono a concentrarsi di più sugli hacktivist (52%) e su minacce interne dolose (40%), mentre i ‘principianti’ sono maggiormente preoccupati da minacce esterne (42%), come quelle che possono derivare da partner e fornitori.
Quando si tratta di cyber-resilience, cioè di procedure da attuare a valle di incidenti informatici, i ‘leader’ investono di più in cyber-resilience rispetto ai ‘principianti’. Più le aziende fanno progressi in materia di cybersecurity, più investono nella cyber-resilience, se i ‘principianti’ investono il 14% del loro cyber budget, i ‘leader’ ne spendono il 18%.
Di seguito, alcuni punti chiave emersi dalla ricerca relativi alla maturità cyber e agli investimenti nella gestione dei rischi cyber:
- Il 91% dei ‘leader’ sostiene che gli investimenti fatti siano adeguati a soddisfare i bisogni di sicurezza dell’azienda.
- Il 33% dei ‘principianti’ sostiene che gli investimenti fatti siano adeguati a soddisfare i bisogni di sicurezza dell’azienda.
- Il 73% delle aziende prevede di utilizzare i behavior analytics come strumento di cyber security nei prossimi due anni
- L’80% delle aziende investe almeno una piccola cifra per l’acquisto di un’assicurazione cyber, cifra maggiore nelle aziende farmaceutiche (in media $16,4 milioni di capitale assicurato) che diminuisce nelle manifatturiere (in media $8,6 milioni di capitale assicurato).
“All’interno delle aziende, i leader investono ingenti risorse nella protezione dell’IT e nella gestione del rischio contro le minacce esterne, ma la formazione del personale così come la cultura aziendale giocano un ruolo di primaria importanza, più di quanto molti pensino. La maggior parte degli incidenti legati alla cyber security deriva da comportamenti errati del personale e da errori umani”, spiega Corrado Zana, responsabile Cyber Risk Solutions di Willis Towers Watson per l’Europa Continentale. “Oltre a mitigare le minacce informatiche attraverso la tecnologia e il trasferimento del rischio, le aziende devono adottare una strategia di valutazione continua del rischio cyber, che si basi su una cultura aziendale di coinvolgimento del personale, sulla formazione, e sul ruolo della tecnologia e delle soluzioni di trasferimento del rischio.”
Il report The Cyber Security Imperative evidenzia la necessità di una valutazione continua del rischio cyber che consideri le persone, i processi e la tecnologia. L’approccio integrato e olistico di Willis Towers Watson offre strumenti e soluzioni per supportare le aziende nella valutazione, quantificazione e trasferimento del rischio cyber.