Esiste un divario significativo tra le imprese sulla percezione del rischio cyber e sulla loro capacità di gestire l’emergenza.
Oltre i 2/3 dei 1.300 manager senior intervistati per la realizzazione dello studio “By the Numbers: Global Cyber Risk Perception” condotto a livello globale da Marsh e Microsoft, hanno indicato la cyber security fra le cinque priorità di risk management delle loro aziende, circa il doppio rispetto a un anno fa.
La stragrande maggioranza degli intervistati (75%) ha identificato nell’interruzione dell’attività la peggiore delle possibili conseguenze legate a un attacco cyber, a fronte di un 55% che ha indicato la violazione dei dati sui clienti, storicamente al centro delle attenzioni delle imprese.
Nonostante ciò, solamente il 19% del campione si ritiene al sicuro e crede che la propria organizzazione sia in grado di mitigare il rischio e sia capace di rispondere prontamente a un attacco cyber. Tuttavia, colpisce la scarsa percentuale (30%) di coloro che sostengono di aver predisposto un piano per rispondere a questa tipologia di incidenti.
John Drzik, presidente di Global Risk and Digital di Marsh sostiene che “il cyber risk è diventata una priorità per la gestione dell’azienda, a causa del crescente utilizzo della tecnologia che rende i rischi sempre più complessi e ampi. È arrivato il momento per le aziende di adottare un approccio più completo alla sfera informatica, al fine di coinvolgere l’intero executive team che dovrà considerare aspetti quali la prevenzione, la mitigazione e il trasferimento dei rischi”.
Un aspetto interessante dello studio riguarda la quantificazione del rischio. Secondo il report, meno del 50% degli intervistati ha dichiarato che la propria azienda considera le possibili perdite finanziarie prodotte da un incidente cyber, e solamente l’11% delle imprese che lo fanno, producono stime sulle possibili perdite economiche. Parliamo di calcoli che sono indispensabili per poter produrre piani strategici e per ogni decisione circa gli investimenti in cyber security e le coperture assicurative.
Allo stesso tempo, la responsabilità della gestione del rischio cyber continua a riguardare principalmente il reparto IT dell’azienda. Secondo lo studio il 70% degli intervistati ha indicato l’area IT come il decisore della gestione del rischio cyber, a fronte di un 37% che ha indicato il presidente, il ceo o il consiglio di amministrazione e il 32% che ha citato la funzione di risk management.