Il Centro per la Cybersecurity del World Economic Forum ha pubblicato la scorsa settimana il suo “Cybersecurity Outlook 2023”. Il documento è il risultato dell’analisi delle risposte a una ricerca che ha coinvolto “cyber leader”, “organizational leader” e “business leader”, come sono indicati nel report, nell’esplorare lo stato e l’approccio alla cyber security nelle aziende.
Il report è molto interessante, non solo per le conclusioni più macroscopiche, ma anche per alcuni numeri , a volte inattesi, che si trovano leggendolo più a fondo.
Indice degli argomenti
Il rapporto Cybersecurity Outlook 2023
Il primo dato che emerge chiaramente è un significativo aumento dell’attenzione alla cyber security da parte dei business owner. Questo è certamente legato all’evoluzione dello scenario geopolitico, che rende gli attacchi, anche finalizzati al solo danno e disservizio, più probabili.
Come conseguenza, il ruolo dei cyber security leader è divenuto più rilevante, portandoli a confrontarsi più spesso con i vertici aziendali, e portando i business owner ad avere maggiore necessità di capire i rischi di cyber security e il loro possibile impatto sull’azienda.
I cyber leader devono imparare a farsi capire in azienda
Ma qui vengono fuori i problemi storici, primo fra tutti la difficoltà per i cyber leader di comunicare efficacemente i rischi, l’esposizione degli asset, le azioni necessarie e la loro efficacia. Questo principalmente perché tendono a parlare un linguaggio magari tecnicamente corretto, ma inadatto ad essere compreso dai business leader, che quindi faticano a trasformare quanto comunicato dai cyber leader in decisioni ed azioni efficaci.
Eppure, e anche questa è un’evoluzione importante, da una parte il CISO (Chief Information Security Officer) comincia a riportare più spesso direttamente al CEO, e dall’altra il conflitto dell’avere un CISO a riporto del CIO viene messo ormai in evidenza in modo abbastanza diffuso, dato che il CIO, nel dare priorità alle attività, potrebbe depotenziare gli interventi di sicurezza a favore di quelli al miglioramento delle funzionalità più visibili. Si tratta quindi di un momento importante, del quale non sempre i CISO sembrano essere in grado di approfittare.
Gestire la sicurezza della classe dirigente: il ruolo determinante del CISO
Ma per fortuna cresce la percezione del rischio
Nonostante questo, la percezione di rischio da parte delle aziende, in questo ultimo anno è cresciuta enormemente. Quasi la metà degli organizational leader ritiene che nei prossimi due anni la loro organizzazione sarà colpita da un attacco cyber che avrà impatti concreti.
Fra le fonti di rischio, è riconosciuto come importante l’ecosistema in cui l’organizzazione opera, comprese ad esempio le altre aziende dello stesso settore e la supply chain. Tanto che, e questo sembra una novità notevole, una percentuale importante ritiene che l’attività regolatoria sul tema sia stata utile a migliorare la sicurezza complessiva.
Continuità operativa e cyber resilienza aziendale: cosa impariamo dal caso Libero
Più enforcement delle norme, più sicurezza
Anzi, l’enforcement delle norme dovrebbe addirittura aumentare. Non perché le aziende desiderino essere maggiormente controllate, ma perché può portare appunto ad un miglioramento della sicurezza del contesto complessivo. In effetti, se in un certo settore le aziende hanno una maturità bassa dal punto di vista della cyber security, i fornitori si abituano ad avere pochi requisiti e poca pressione.
Un’azienda che voglia raggiungere un livello di maturità maggiore si troverà quindi in difficoltà a far accettare ai fornitori i propri requisiti più stringenti. E, naturalmente, la supply chain sarà un anello particolarmente debole.
Due modi diversi di vedere i fornitori
Questa, fra l’altro, è un’area in cui la percezione dei business leader e dei cyber leader è piuttosto diversa: i cyber leader vedono la quasi totalità delle terze parti con una postura di sicurezza leggermente migliore o leggermente peggiore, mentre i business leader hanno una prospettiva più polarizzata e nel complesso pessimistica sulle terze parti, oppure ottimistica sulla propria.
In effetti, uno degli aspetti più interessante dello studio è il disallineamento di percezione fra cyber leader e business leader: il disallineamento, ad esempio, varia in modo significativo in funzione delle dimensioni dell’azienda, in modi non banali. A seconda del tema, poi, possono essere i cyber leader ad avere una maggiore percezione di rischio, o i business leader.
Sicurezza informatica: ecco come scegliere il fornitore più adeguato alle esigenze dell’azienda
Quel disallineamento tra cyber leader e business leader
Spesso, comunque, il disallineamento è piuttosto rilevante, e questo dà l’idea, nuovamente, di una difficoltà di comunicazione. Un esempio di diversa prospettiva è il ruolo della cyber security come abilitatore del business o come requisito di compliance, dove la prospettiva della compliance è considerata quasi solo dai cyber leader.
Va detto che questi ultimi hanno probabilmente una percezione molto concreta di quali siano le effettive fonti del finanziamento delle spese in cyber security in azienda.
Sulla cyber resilience tutti d’accordo
Il tema della cyber security è rilevante, naturalmente, nell’adozione di nuove tecnologie, adozione che procede piuttosto velocemente, ma i cui rischi in termini di esposizione ad attacchi sono ancora difficili da valutare. È rilevante anche, data l’evoluzione del contesto geopolitico, il tema della cyber resilience, che vede tutti allineati e quasi unanimi nel sostenere che debba essere integrata nelle strategie di gestione del rischio dell’azienda.
La complicata ricerca dei talenti
Il rapporto affronta altri temi che sono particolarmente “caldi” in questo periodo, come la capacità delle aziende di attrarre e trattenere talenti nel settore, e i gap nelle competenze disponibili internamente, in un settore evidentemente in forte crescita.
Altro tema caldo sono le criticità relative alla supply chain, dove il rapporto mette ad esempio in evidenza come imprese anche di grandi dimensioni possano considerare “critici” piccoli fornitori, che per le loro dimensioni e risorse hanno difficoltà ad affrontare in modo efficace il tema della cyber security.
Complessivamente, il report dà la chiara percezione di un momento cardine nella gestione della cyber security nelle aziende, tema che sembra finalmente spostarsi in modo diffuso e deciso da tematica “tecnica dell’IT” a tema di impatto sull’intera azienda, da gestire nell’ambito dell’ERM aziendale, ed al quale i vertici aziendali prestano realmente attenzione.
Il rapporto si può scaricare qui.
