Crimini informatici: top manager e CISO divisi su come combatterli

Trend Micro protegge le smart factory

Formazione e coinvolgimento sono i passi necessari per responsabilizzare i vertici aziendali sul nuovo panorama della sicurezza informatica

IBM ha pubblicato un nuovo studio, condotto dal suo Institute for Business Value su oltre 700 top manager, che ha rivelato come molti leader appartenenti alla C-Suite  non conoscano quali siano le reali minacce nell’ambito della sicurezza informatica e le modalità con cui affrontarle in modo efficace.

Il nuovo studio, Securing the C-Suite, Cybersecurity Perspectives from the Boardroom and C-Suite, si basa su interviste effettuate a CxO provenienti da 28 paesi e appartenenti a 18 settori diversi, sul tema della sicurezza informatica nelle imprese. La ricerca non includeva i CISO (Chief Information Security Officer), poiché la finalità era ottenere un quadro reale di ciò che detutti gli altri manager appartenenti alla C-Suite pensano relativamente alla sicurezza informatica. Anche se la sicurezza informatica è considerata una delle principali aree critiche dal 68 per cento dei CxO e il 75 per cento degli stessi è convinto dell’importanza di un piano complessivo per la sicurezza, lo studio ha rivelato che i dirigenti che ricoprono ruoli chiave devono essere maggiormente coinvolti, insieme ai CISO, per assumere un ruolo più attivo e andare oltre la  semplice pianificazione della sicurezza aziendale.

Uno dei risultati più importanti dello studio è che il 70 per cento dei CxO ritiene che la minaccia più seria per la propria organizzazione sia costituita da singoli individui che perseguono finalità illecite. Nella realtà, secondo un rapporto delle Nazioni Unite, l’80% degli attacchi informatici sono guidati da organizzazioni criminali estremamente complesse, nelle quali si condividono in modo diffuso dati, strumenti e competenze. Lo studio ha rilevato che i vertici aziendali sono preoccupati da un ampio spettro di minacce, tra cui il crimine organizzato, citato dal 54 per cento degli intervistati, e la concorrenza, causa di preoccupazione per il 50 per cento dei partecipanti.

Leggi anche:  HermeticWiper, un nuovo malware usato per colpire obiettivi Ucraini governativi

Oltre il 50 per cento dei CEO concorda sulla necessità di collaborare per combattere i crimini informatici. Paradossalmente però, solo un terzo di loro ha espresso la disponibilità a condividere esternamente le informazioni sugli incidenti di sicurezza informatica avvenuti all’interno della propria organizzazione. Ciò rivela una certa resistenza verso una collaborazione di settore diffusa e coordinata, mentre i gruppi di hacker continuano a perfezionare sul Dark Web la propria capacità di condividere informazioni, quasi in tempo reale. I CEO hanno anche sottolineato che si aspettano di più da vari soggetti esterni: maggiore sorveglianza da parte degli enti governativi, maggiore collaborazione all’interno del settore e condivisione delle informazioni a livello transnazionale, persino da parte dei concorrenti. Questa contraddizione deve ora trovare una soluzione.

“Il mondo della criminalità informatica è in rapida evoluzione, ma molti top manager non dimostrano una comprensione delle minacce al passo con i tempi,” ha dichiarato Caleb Barlow, Vice Presidente IBM Security. “Mentre i CISO e i  Consigli di Amministrazione possono contribuire a fornire adeguate linee guida e strumenti, i CxO delle funzioni marketing, risorse umane e finanza, cioè delle aree a più elevata concentrazione di grandi volumi di dati sensibili, dovrebbero essere coinvolti più attivamente nelle decisioni relative alla sicurezza, insieme al CISO.”

In effetti, tali funzioni rappresentano obiettivi primari per i criminali informatici, poiché gestiscono dati sensibili relativi a clienti e dipendenti, nonché le informazioni finanziarie aziendali più importanti e l’accesso ai dati bancari. Nello studio, circa il 60 per cento dei CFO, CHRO e CMO riconoscono chiaramente di non essere attivamente coinvolti (e di conseguenza nemmeno i loro reparti) nelle strategie di protezione informatica e nella loro attuazione. Ad esempio, solo il 57 per cento dei CHRO riferisce di aver promosso attività di formazione dei dipendenti sulla sicurezza informatica, che costituisce il primo passo per coinvolgerli attivamente sull’argomento.

Leggi anche:  Il 40% dei bambini italiani condivide informazioni private con sconosciuti online

Cosa possono fare le aziende

Un numero elevatissimo di CxO intervistati, il 94 per cento, ritiene probabile che la propria azienda si trovi ad affrontare un importante incidente di sicurezza informatica nell’arco dei prossimi due anni e solo  il 17 per cento  si sente preparato e in grado di rispondere a queste minacce. IBM ha identificato delle figure di spicco tra gli intervistati, classificando il 17 per cento che si ritiene preparato e capace,come “Cyber-Secure”. I leader “Cyber-Secure” presentano una probabilità due volte più alta di integrare, con la collaborazione, i CxO nel programma di sicurezza informatica aziendale. Presentano, inoltre, una probabilità due volte più elevata di avere la sicurezza informatica come argomento presente nell’’ordine del giorno del Consiglio di Amministrazione.

Suggerimenti per diventare leader “Cyber-Secure”

  •    Comprendere i rischi: valutare i rischi del proprio ecosistema, condurre valutazioni dei rischi per la sicurezza, sviluppare programmi di istruzione e formazione per i dipendenti e inserire la sicurezza nella pianificazione dei rischi dell’organizzazione.
  •    Collaborare, formare e responsabilizzare: stabilire un programma di gestione della sicurezza, responsabilizzare il CISO, portare e discutere regolarmente la sicurezza informatica nelle riunioni dei vertici aziendali e includerli  nello sviluppo di un piano di risposta agli incidenti.

·        Gestire i rischi con attenzione e rapidità: mettere in atto un monitoraggio continuo della sicurezza, sfruttare le scienze forensi relative agli incidenti, condividere e utilizzare l’intelligence relativa alle minacce per proteggere l’ambiente, mappare le risorse digitali all’interno delle organizzazioni e sviluppare conseguenti piani di mitigazione dei rischi, nonché sviluppare e far applicare le policy sulla sicurezza informatica.