L’indagine di Accenture sulla cultura della cybersecurity nelle aziende rileva quanta conoscenza e dimestichezza hanno i CEO in materia di cybersecurity

sicurezza informatica

La fotografia di Accenture mostra che oggi gli amministratori delegati sono pienamente consapevoli delle minacce che gli attacchi informatici e la sicurezza informatica rappresentano per le aziende; tuttavia, la maggior parte di loro non mostra sicurezza nella capacità della propria organizzazione di evitare o ridurre al minimo tali attacchi. Imparano a diventare resilienti – dal punto di vista informatico – solo dopo che la propria azienda ha ormai subito una violazione dei sistemi.

L’attenzione alla sicurezza però sta gradualmente aumentando, tanto che alcuni CEO stanno agendo proprio per minimizzare il rischio e per porre la resilienza informatica al centro dei propri sforzi di re-invenzione della propria organizzazione.

Questi, che definiamo CEO Cyber “resilienti” sono consapevoli che la cybersecurity non è un’iniziativa una tantum, ma riconoscono la necessità di un impegno costante per rafforzare le proprie difese e adattarsi per essere all’avanguardia.

Gli amministratori delegati devono agire contemporaneamente e in sinergia su più aree (Strategia – Talento e cultura – Ecosistema) per mettere in atto nella propria azienda una resilienza continua:

  • I CEO “resilienti” migliorano costantemente i loro benchmark di prestazioni informatiche per stare al passo con l’evoluzione del panorama da cui derivano le minacce.
  • Valutano il programma di sicurezza dell’organizzazione, richiedendo revisioni da parte di terzi e implementano i miglioramenti laddove necessario.
  • Si preparano al blackout della cybersecurity creando e implementando un playbook completo di risposta alle crisi informatiche che include aspetti chiave: come il processo decisionale esecutivo, i protocolli di comunicazione interna ed esterna, la collaborazione con i consulenti legali esterni, le forze dell’ordine e i team di risposta agli incidenti di sicurezza informatica di terze parti.
  • Infine, agiscono come “leader” con l’obiettivo di guidare e dirigere la propria forza lavoro nell’utilizzo dei dati, dell’IA generativa e dell’apprendimento automatico avanzato per rilevare e proteggersi dagli attacchi informatici prima che si verifichino, ottenendo un vantaggio competitivo. 
  • Ogni azienda è un’azienda digitale“: oggi la maggior parte utilizza il cloud, l’Edge computing, il 5G e l’IA generativa.
  • Per il 96% dei CEO interpellati la tecnologia svolge, infatti, un ruolo fondamentale nelle loro attività di trasformazione e re-invenzione attuali e future. Ma, ovviamente, queste stesse attività aprono la porta a nuovi attacchi informatici, rendendo l’azienda estremamente vulnerabile.
  • 7 CEO su 10 hanno dichiarato che le proprie organizzazioni implementano i controlli di sicurezza per le funzioni critiche dopo che la Trasformazione è stata completata e le vulnerabilità nei sistemi sono state rilevate. Il problema è legato o ad un caso di mancanza di intervento o di ritardo nel metterlo in pratica.

L’Accenture Global Disruption Index – che definisce una misura composta da instabilità economiche, sociali, geopolitiche, climatiche, legate ai consumi e tecnologiche – mostra che i livelli di pericolosità sono aumentati del 200% dal 2017 al 2022.

Tra le cause più frequenti di minacce:

  • TECHNOLOGY INNOVATION> il 52% dei CEO ha classificato l’accelerazione tecnologica come il rischio principale per i cyberattacchi, mentre l’86% ritiene che la fiducia e la resilienza informatica siano molto importanti per le tecnologie emergenti.
  • INTERRUZIONE DELLA SUPPLY CHAIN> il 51% degli amministratori delegati considera la supply chain come il secondo rischio esterno più elevato, ponendo l’accento sulle vulnerabilità della catena di approvvigionamento.
  • VULNERABILITÀ AMBIENTALI> il 90% degli amministratori delegati riconosce un legame e una dipendenza dai cambiamenti e dalle iniziative ambientali.

L’attenzione dei CEO è molto alta sul tema della sicurezza cibernetica, soprattutto se si considerano anche i costi e le spese legati alla sicurezza informatica.

  • Le perdite dovute alla criminalità informatica sono passate da 3.000 miliardi di dollari nel 2015 a 8.000 miliardi di dollari nel 2023 e si prevede che raggiungeranno i 10.500 miliardi di dollari nel 2025. Gli attacchi informatici stanno diventando sempre più complessi e frequenti e possono paralizzare rapidamente le operazioni aziendali, anche per le grandi aziende globali con operazioni sofisticate.
  • Anche la spesa per la cybersecurity è in aumento: secondo IDC, la spesa globale per la cybersecurity ha raggiunto i 219 miliardi di dollari quest’anno e si prevede che raggiungerà i 300 miliardi di dollari nel 2026.

La consapevolezza delle perdite finanziarie, dei danni alla reputazione e delle interruzioni operative che i cyberattacchi possono causare, fa sì che molti CEO abbiano un crescente senso di urgenza nel gestire la cybersecurity.

  • Il 96% degli amministratori delegati comprende l’importanza della sicurezza informatica, riconoscendo che è un fattore chiave per il business
  • Solo il 33% degli amministratori delegati concorda fortemente sul fatto di avere una conoscenza approfondita dell’evoluzione del panorama delle minacce informatiche.
  • Il 74% degli amministratori delegati è preoccupato per la capacità della propria organizzazione di evitare o minimizzare i danni all’azienda derivanti da un attacco informatico.

I CEO dimostrano spesso una mentalità reattiva. Non inseriscono la cybersecurity nelle loro strategie aziendali, nei loro prodotti o servizi:

  • il 60% di loro ha dichiarato che le loro organizzazioni non hanno introdotto la “security-by-design” fin dall’inizio;
  • il 44% non considera la cybersecurity come una questione strategica e, di conseguenza, non le dedica un’attenzione costante; e poiché la cybersecurity è difficile da quantificare, sembra che sia più facile trascurarla, con più della metà che pensa che un attacco costerà loro meno che implementare le misure di cybersecurity da subito: un atteggiamento attendista che potrebbe portare a più attacchi e a costi maggiori.

A causa di queste incertezze sulla cybersecurity, si ha la sensazione che si debba rimanere fermi ad attendere:

  • è facile che ciò accada quando quasi tutti i CEO (91%) considerano la cybersecurity come una funzione tecnica guidata dagli incidenti e affermano che la conformità guida la loro strategia di cybersecurity (95%).
  • solo il 15% dei CEO ha dichiarato di dedicare le riunioni di CdA alla discussione dei problemi di cybersecurity.

Tuttavia, ci sono alcuni leader che stanno cambiando approccio e la storia della cybersecurity.

  • un piccolo gruppo (5%) di CEO dà la priorità alla cybersecurity per promuovere il valore aziendale con sicurezza, fiducia e resilienza. Questi CEO resilienti alla cybersicurezza rilevano, contengono e rimediano alle minacce più velocemente e riducono i costi delle violazioni.

Altre aree che le distinguono sono il modo in cui guardano a misure non finanziarie per determinare la loro posizione in materia di sicurezza informatica (tra cui la sostenibilità, i talenti, l’innovazione tecnologica e i clienti) e l’adozione di strategie a livello aziendale per reinventare le loro funzioni e unità aziendali, costruendo capacità trasversali alle funzioni e ai reparti e incorporando la cybersecurity nelle loro strategie fin dall’inizio.

Rispetto al resto dei CEO, questo 5% di cyber-resilienti sta vedendo i frutti tangibili dei propri sforzi.

  • 16% di crescita incrementale dei ricavi
  • 21% in più di riduzione dei costi
  • 19% di miglioramento del bilancio

Si tratta di una serie di vantaggi significativi che dovrebbero costituire un campanello d’allarme per i loro pari.

Nel complesso, i CEO “resilienti” alle tecnologie informatiche adottano cinque azioni chiave basate su strategia, talento e cultura, tecnologia, ecosistemi e resilienza continua.

Questi amministratori delegati resilienti alle tecnologie informatiche adottano costantemente cinque azioni chiave:

  1. Includono la resilienza informatica nella strategia aziendale fin dall’inizio
  2. Stabiliscono una responsabilità condivisa in materia di cybersecurity in tutta l’azienda
  3. Proteggono il “nucleo digitale” nel cuore dell’azienda
  4. Estendono la resilienza informatica oltre i confini e i settori della Società
  5. Adottano una resilienza informatica continua per rimanere al passo con i tempi

* Un indice di azione dei CEO cyber-resilienti, comprendente 25 pratiche che misurano la resilienza informatica.

Emerge che:

  • Il 5% dei CEO cyber “resilienti” intraprende costantemente tre o più di queste azioni, senza aspettare una violazione o una scadenza di conformità.
  • Il 49% dei cyber “follower” segue rigorosamente almeno due delle cinque azioni e adotta alcune pratiche delle azioni rimanenti.
  • Il 46% dei “no-cyber”informatici non adotta in modo coerente o rigoroso nessuna delle azioni e rimane tipicamente bloccato in una modalità reattiva.

Ciascuna di queste cinque azioni comporta una significativa over performance rispetto ai propri pari in:

  • +41% Strategia > adottando una resilienza informatica continua per rimanere all’avanguardia
  • +40 % talenti e cultura> Instaurando una consapevolezza condivisa in materia di cybersicurezza
  • +27% Tecnologia: Proteggendo il nucleo digitale
  • +36% Ecosistema: Estendendo la resilienza informatica oltre i confini e i sistemi organizzativi
  • +39% Resilienza Continua: Abbracciando la resilienza informatica continua per rimanere al passo con i tempi

 Le FASI PRATICHE DEL PERCORSO VERSO LA “RESILIENZA CIBERNETICA”:

  1. La prima delle cinque azioni è la dimensione strategica: i CEO cyber-resilienti eccellono nell’incorporare la resilienza informatica nelle loro strategie aziendali fin dall’inizio, dando loro un vantaggio del 41% rispetto ai “no-cyber” informatici e un notevole 17% rispetto ai “follower” informatici. Integrando la cybersecurity nel loro approccio strategico, i CEO cyber-resilienti dimostrano di essere impegnati a salvaguardare le loro organizzazioni dalle minacce informatiche che si presentano e di avere una solida posizione di sicurezza.

Nel dettaglio:

Per tradurre questo approccio in strategia in azienda è opportuno:

  1. inserire la resilienza informatica nel tessuto aziendale, considerandola come un fattore strategico fin dall’inizio (quasi il 70% dei CEO resilienti dal punto di vista informatico lo fa, rispetto ad appena il 38% dei “no-cyber”).
  2. fare in modo che i leader aziendali abbraccino la cybersecurity come parte integrante dei processi decisionali e responsabilizzateli.
  3. fissare obiettivi chiari e richiedete un resoconto su come, quando e dove la sicurezza è stata consultata, con i rischi identificati e le soluzioni fornite durante la pianificazione strategica, l’implementazione e la durata di un’iniziativa aziendale.
  4. semplificare le complesse gerarchie organizzative, i processi decisionali e i flussi di lavoro operativi.
  5. condividere apertamente le informazioni sugli incidenti informatici, impegnarsi per la trasparenza ed essere proattivi per affrontare le minacce informatiche mantenendo solide relazioni con gli stakeholder.

    CINQUE AZIONI
    per seguire l’approccio proattivo dei CEO cyber-resilienti nell’instaurare una cultura della cybersecurity che coinvolga i dipendenti a tutti i livelli:
  1. Stabilire una cultura di responsabilità condivisa, ispirando i leader aziendali a considerare la cybersecurity come un fattore di differenziazione competitiva che consente l’innovazione garantendo al contempo la sicurezza; il 70% dei nostri CEO cyber-resilienti lo fa rispetto al 37% dei no-cyber informatici.
  2. Costruire all’interno dell’organizzazione una cultura orientata alla sicurezza informatica, sottolineando l’importanza di comportamenti cyber- competenti in materia informatica a tutti i livelli.
  3. Sfruttare la potenza dell’innovazione, come l’IA generativa, per gestire efficacemente i carichi di lavoro, eliminare le attività ad alta intensità di lavoro e migliorare le capacità di difesa informatica.
  4. Passare da consumatori di talenti a creatori di talenti, assumendo persone con caratteristiche quali la curiosità, il pensiero critico e la capacità di risolvere i problemi.
  5. Infine, quasi il 60% dei CEO cyber-resistenti dà priorità al CaaS e concorda sul fatto che offre vantaggi quali la riduzione dei costi, il consolidamento dei fornitori e la risoluzione del gap di talenti.

Le prestazioni dei CEO sono valutate in base all’adozione di pratiche di sicurezza legate alla tecnologia per salvaguardare il nucleo digitale:

  • I CEO cyber-resilienti hanno ottenuto un punteggio di 4 punti, superando i “no-cyber” informatici del 27% e i “follower” informatici dell’11%. 

COME LA DIMENSIONE DELL’ECOSISTEMA SI CONCRETIZZA IN PASSI PRATICI:

  • Gli amministratori delegati dovrebbero implementare politiche e controlli su misura per le terze parti e coinvolgerle in valutazioni, preparazioni e simulazioni di crisi informatiche condivise.
  • Dovrebbero promuovere ambienti trasparenti e collaborativi per contenere le sorprese e ridurre al minimo l’impatto dei cyberattacchi (costruendo relazioni solide con gli stakeholder interni esperti di cyber, iniziative di condivisione delle conoscenze con i colleghi del settore e trasparenza nelle pratiche di approvvigionamento).
  • Impegnarsi con gli enti governativi e il settore privato e aiutare i leader a svolgere un ruolo nella protezione dell’intersezione tra mondo cibernetico e fisico.
  • È importante collegare la resilienza e la sostenibilità climatica con la resilienza della sicurezza informatica per evitare un aumento delle vulnerabilità.
  • Adottare un quadro di riferimento per valutare e misurare i controlli in tutte le funzioni critiche delle catene del valore aziendali, in modo che possano supportare la reinvenzione del business e superare le interruzioni.
  • Considerare il rischio di cybersecurity nella valutazione del rischio complessivo dell’impresa, dando priorità agli asset e alle operazioni che devono essere protetti.
  • Infine, ma non meno importante, delle cinque azioni, la dimensione di resilienza continua dell’indice di azione dei CEO, i CEO cyber-resilienti superano i “no-cyber” informatici del 39% e i “follower” informatici del 15% in termini di resilienza informatica continua. Sono consapevoli che la cybersecurity non è un’iniziativa una tantum e riconoscono la necessità di un impegno costante per rafforzare le proprie difese e adattarsi per rimanere all’avanguardia.