Il gap nella cybersecurity si colma con più collaborazione tra dirigenti e CISO. La ricerca di Accenture

Nel panorama attuale, quasi tutte le aziende hanno nel loro organico un Chief Information Security Officer (CISO) o un manager di alto livello come un Chief Information Officer (CIO), anche se spesso queste figure hanno un’influenza limitata sulle strategie di sicurezza informatica al di fuori dei loro dipartimenti. Inoltre, circa la metà dei CISO riconosce che le responsabilità di cui sono investiti per la sicurezza dell’organizzazione crescono più rapidamente della loro capacità di affrontare i problemi ad essa attinenti.

È quanto emerge dalla ricerca “Securing the future enterprise today – 2018” di Accenture, che ha intervistato 1.460 dirigenti d’azienda per capire quale livello di priorità le organizzazioni stanno dando alla sicurezza nei nuovi progetti di business; se i loro piani di sicurezza rispondono alle future esigenze aziendali; che competenze abbiano in tema di sicurezza e quale sia il loro livello di collaborazione interna ed esterna in proposito.

La ricerca

Il 73% degli oltre 1.400 dirigenti di C-level intervistati si è detto concorde sul fatto che lo staff e le attività di cybersecurity vadano distribuiti su tutte le aree aziendali, eppure nel 74% delle aziende la sicurezza informatica è ancora centralizzata. Ci sono pochi segnali che i dirigenti di alto livello prevedano di decentralizzare la responsabilità in ambito di security. Attualmente solo il 25% dei dirigenti non CISO sostiene che i direttori delle business unit hanno anche responsabilità in materia di sicurezza informatica, e una percentuale altrettanto bassa pensa che dovrebbero averla anche in futuro.

Ulteriore problematica ad essere rilevata è la disparità tra quelle che secondo i dirigenti C-level sono le aree di preoccupazione emergenti e le strategie di sicurezza informatica utilizzate per la protezione. Le aziende, ad esempio, devono fare ancora molto per diffondere la cultura della cybersecurity tra i dipendenti e pochissimi CISO hanno l’autorità per influenzare le business unit delle loro organizzazioni.

Solo metà degli intervistati dichiara che tutti i dipendenti ricevono formazione sulla sicurezza informatica al momento del loro ingresso nell’organizzazione e che vengono regolarmente sensibilizzati sulla questione nel corso della loro permanenza in azienda. Mentre solamente il 40% dei CISO afferma di essersi sempre consultato con i direttori delle diverse aree aziendali per capire le esigenze di business prima di proporre un approccio alla sicurezza e pone come priorità assoluta l’istituzione o l’ampliamento di un programma di protezione dalle minacce interne.

La percezione dei rischi informatici da parte dei manager

 I manager di alto livello vedono nella diffusione delle nuove tecnologie e dei nuovi strumenti un potenziale aumento del rischio informatico per le loro aziende e percepiscono una crescita dei pericoli legati alla condivisione dei dati con terze parti. In cima alla lista c’è l’Internet of Things, a cui il 77% degli intervistati imputa un aumento moderato o significativo del rischio informatico.

Per il 74% di essi a elevare il rischio saranno i servizi cloud, eppure solo il 44% dichiara che la propria strategia di sicurezza informatica protegge anche l’ambiente cloud. Più del 70% dei manager si aspetta che la condivisione dei dati con partner strategici e terze parti genererà un aumento del rischio, ma solo il 39% afferma che i dati condivisi sono adeguatamente protetti dalla strategia di sicurezza informatica dell’azienda su questo fronte.

Tutti gli intervistati hanno risposto per conto di aziende con fatturato annuo pari o superiore a 1 miliardo di dollari operanti in 14 settori e distribuite in 16 paesi tra Nord e Sud America, Europa e Asia Pacifico. Essi erano equamente distribuiti tra Chief Information Security Officer o ruoli equivalenti, e amministratori delegati o altri dirigenti C-level.