Le aziende italiane dimostrano ampia conoscenza del rischio cyber ma risultano ancora impreparate nell’adozione di piani di risk mitigation, nella promozione di progetti di formazione interna e nell’investimento dei budget aziendali. Allo stesso tempo, l’errore umano risulta il fattore principale di vulnerabilità degli attacchi e le polizze assicurative per i rischi cyber sono ancora poco conosciute.
Sono queste le principali evidenze emerse dalla Cyber Risk Survey patrocinata da ANRA e condotta dall’Università di Verona in collaborazione con Riesko, che ha messo a disposizione la piattaforma per raccogliere ed elaborare i dati atti a rilevare la percezione del cyber risk da parte delle organizzazioni.
L’analisi è stata strutturata su un campione di circa 250 aziende, di cui più della metà appartenenti al settore “informatica ed elettronica” e “finanza, assicurazione ed amministrazione”.
I principali insight dell’analisi:
- Il mondo delle aziende ha ormai sviluppato una importante sensibilità rispetto ai rischi cyber: il 72% dichiara di averne un’alta consapevolezza ma tale rischio viene percepito come principalmente tecnico piuttosto che strategico;
- Solo poco più della metà (il 55%) ha adottato un piano operativo di risk mitigation in azienda;
- Ancora molto lavoro da fare per colmare il gap tra grado di consapevolezza e azioni proattive: solo il 49% dei rispondenti adotta programmi di formazione HR e nel 70% dei casi l’investimento in questi processi è minimo: meno del 15% del budget;
- Il principale fattore di vulnerabilità è nel 68% dei casi l’errore umano;
- Sebbene spesso insufficienti, la metà delle organizzazioni considera i propri sistemi di trattamento adeguati;
- Se la maggior parte – il 58% - delle aziende conosce gli strumenti assicurativi per fronteggiare i rischi cyber e la metà (49-51%) li adotta, il 32% delle aziende esprime ancora delle riserve sul loro utilizzo.
Le aziende hanno ormai ben chiaro che gli attacchi cyber rappresentano un rischio per la propria organizzazione: il 72% degli intervistati ritiene di possedere una conoscenza adeguata riguardante i rischi cyber e della sicurezza informatica.
Inoltre, il 70% possiede una buona conoscenza dell’impatto che la sicurezza informatica ha sulla continuità operativa. Tuttavia, il cyber risk, pur essendo percepito come rischio “critico” (74%) viene considerato come prevalentemente “tecnico”, soprattutto legato ai sistemi IT (45%).
Solo poco più di metà delle aziende si è attrezzata con dei piani di risk mitigation
Alla diffusione della conoscenza dei rischi cyber non corrisponde l’impegno a investire su piani formali di risk mitigation, presente infatti solo nel 55% dei casi e la “awareness” per gli standard è solo del 47%. Inoltre, molte realtà preferiscono appaltare la risoluzione di questi problemi all’esterno con soluzioni di outsourcing (64%).
Per contrastare rischio cyber formazione e budget ancora carenti
L’aumento della consapevolezza e gli attacchi subiti non hanno generato tuttavia un impegno concreto in termini di formazione e investimento in competenze e risorse: solo il 49% degli intervistati adotta processi strutturati di formazione HR e nel 70% dei casi l’investimento in questi processi è minimo: meno del 15% del budget.
Piani di risk mitigation e formazione si rilevano attività ancora più cruciali se consideriamo che il principale fattore di vulnerabilità è proprio l’errore umano, sfruttato infatti nel 68% dei casi da parte di chi commette gli attacchi cyber.
Tra gli altri fattori, nella metà dei casi viene segnalata l’obsolescenza dei sistemi operativi.
Nonostante i diversi fattori di vulnerabilità che presentano le aziende, dalla ricerca si evince che, in termini di budget dedicato al rischio informatico:
- Il 69% delle aziende investe meno del 30% in programmi assicurativi;
- Il 67% investe meno del 30% in servizi di monitoraggio.
Al contempo, risultano elevati investimenti in backup, anche se non molto utili in assenza di un disaster recovery plan.
Ancora bassa la propensione al cambiamento e la conoscenza degli strumenti assicurativi
Guardando al futuro, la cultura del rischio in azienda risulta ancora poco radicata: nonostante i numerosi attacchi e i diversi fattori di vulnerabilità, il 53% delle aziende ritiene al momento adeguati i sistemi di trattamento adottati.
Anche per quanto riguarda gli strumenti assicurativi i dati dimostrano che il 58% li conosce e la metà (49-51%) li adotta. Il 32% delle aziende esprime invece ancora delle riserve sul loro utilizzo, mentre il 17-23% ne è sprovvisto.