Cyber Risk Survey, elevata la percezione in azienda, ma ancora limitate le azioni di risk mitigation

Pur dimostrandosi consapevoli del rischio cyber, le aziende italiane risultano ancora impreparate nell’adozione di piani di risk mitigation, nella promozione di progetti di formazione interna e nell’investimento dei budget aziendali. In questo scenario, l’errore umano risulta il fattore principale di vulnerabilità degli attacchi e sono ancora poco conosciute le polizze assicurative per i rischi cyber.

Questi sono alcuni dei dati emersi dalla Cyber Risk Survey - analisi strutturata su un campione di circa 250 aziende, oltre la metà delle quali appartenenti al settore “informatica ed elettronica” e “finanza, assicurazione ed amministrazione” - patrocinata da ANRA e condotta dall'Università di Verona in collaborazione con Riesko, che ha messo a disposizione la piattaforma per raccogliere ed elaborare i dati atti a rilevare la percezione del cyber risk da parte delle organizzazioni. 

Le aziende ha ormai sviluppato una notevole sensibilità rispetto a questi temi: il 72% dichiara di averne una forte consapevolezza ma tale rischio viene percepito come principalmente tecnico piuttosto che strategico. 

Nonostante questo, soltanto il 55% delle aziende ha adottato un piano operativo di risk mitigation in azienda e molto è il lavoro da fare per colmare il gap tra grado di consapevolezza e azioni proattive: solo il 49% dei rispondenti adotta programmi di formazione HR e nel 70% dei casi l’investimento in questi processi è minimo: meno del 15% del budget. Il principale fattore di vulnerabilità è nel 68% dei casi l’errore umano e, sebbene spesso insufficienti, la metà delle organizzazioni considera i propri sistemi di trattamento adeguati.  

La percezione del rischio cyber (alta) ma soprattutto legata all’IT

Le aziende hanno ormai ben chiaro che gli attacchi cyber rappresentano un rischio per la propria organizzazione: il 72% degli intervistati ritiene di possedere una conoscenza adeguata riguardante i rischi cyber e della sicurezza informatica. Il 70% possiede una buona conoscenza dell’impatto che la sicurezza informatica ha sulla Continuità Operativa. Tuttavia, il Cyber risk, pur essendo percepito come rischio "critico" (74%) viene considerato come prevalentemente "tecnico", soprattutto legato ai sistemi IT (45%). 

Piani di risk mitigation

L'impegno da parte delle aziende a investire su piani formali di risk mitigation risulta ancora scarso: solo nel 55% dei casi è presente e la "awareness" per gli standard è solo del 47%. Numerose realtà preferiscono appaltare la risoluzione di questi problemi all’esterno con soluzioni di outsourcing (64%). 

La necessità di formazione e budget adeguati 

L’aumento della consapevolezza e gli attacchi subiti non hanno dato vita a progetti concreti su formazione e investimento in competenze e risorse: soltanto il 49% degli intervistati adotta processi strutturati di formazione HR e nel 70% dei casi l’investimento in questi processi è minimo: meno del 15% del budget. 

Se si considera che il principale fattore di vulnerabilità è proprio l’errore umano, sfruttato infatti nel 68% dei casi da parte di chi commette gli attacchi cyber, si comprende come piani di risk mitigation e formazione siano cruciali.

Nonostante i diversi fattori di vulnerabilità che presentano le aziende (viene segnalata nella metà dei casi anche l’obsolescenza dei sistemi operativi), dalla ricerca si evince che, in termini di budget dedicato al rischio informatico, il 69% delle aziende investe meno del 30% in programmi assicurativi; Il 67% investe meno del 30% in servizi di monitoraggio. Allo stesso  tempo risultano elevati investimenti in backup, anche se non molto utili in assenza di un disaster recovery plan.

Ridotta conoscenza degli strumenti assicurativi

Volgendo lo sguardo al futuro, si osserva come sia ancora poco radicata la cultura del rischio in azienda, nonostante i numerosi attacchi e i diversi fattori di vulnerabilità, il 53% delle aziende considera infatti al momento "adeguati" i sistemi di trattamento adottati. 

Anche in riferimento agli strumenti assicurativi i dati dimostrano che il 58% li conosce e la metà (49-51%) li adotta. Il 32% delle aziende ha ancora riserve sul loro utilizzo, mentre il 17-23% non ne è provvisto.