Il 76% delle aziende italiane ha subito incidenti di cybersecurity per errori di comunicazione

Poco più di due terzi dei top manager in Italia (76%) ammette che un errore di comunicazione con il reparto o il team di sicurezza IT ha causato almeno un incidente di cybersecurity nelle loro aziende

Secondo una recente indagine di Forrester Analytics, le aziende spendono in media 37 giorni e 2,4 milioni di dollari per rilevare una violazione della cybersecurity e risolverla. Per determinare quanto la comprensione reciproca tra dirigenti e team di sicurezza IT influisca sulla resilienza informatica dell’azienda, Kaspersky ha condotto un’indagine globale su oltre 1.300 leader aziendali.

Sulla base dei risultati dello studio, il 99% degli intervistati non IT ha riscontrato errori di comunicazione in materia di sicurezza informatica. Per quanto riguarda le conseguenze, il più delle volte l’interruzione delle comunicazioni porta a gravi ritardi nei progetti (64%) e a incidenti di cybersecurity (62%). Quasi un terzo degli intervistati (rispettivamente 28% e 29%) ha dichiarato di aver riscontrato questi problemi più di una volta. Inoltre, tra gli altri effetti negativi sono stati evidenziati anche lo spreco di budget (60%), la perdita di un dipendente di valore (62%) e il deterioramento delle relazioni tra i team.

Oltre a peggiorare gli indicatori di business, una comunicazione poco chiara nei confronti dei dipendenti della sicurezza informatica influisce anche sullo stato emotivo del team e fa sì che i dirigenti mettano in dubbio le competenze e le capacità dei dipendenti. Inoltre, il 26% dei dirigenti ammette che le incomprensioni fanno perdere la fiducia nella sicurezza dell’azienda e il 31% ritiene che questa situazione li renda nervosi, incidendo sulle loro prestazioni lavorative.

“Una comunicazione chiara tra i dirigenti di un’azienda e la gestione della sicurezza informatica è un prerequisito per la sicurezza aziendale. La sfida consiste nell’immedesimarsi negli altri, per anticipare e prevenire gravi malintesi. Ciò significa che, da un lato, il CISO dovrebbe conoscere il linguaggio aziendale di base per spiegare meglio i rischi esistenti e la necessità di misure di sicurezza. Dall’altro lato, le aziende dovrebbero capire che la protezione delle informazioni nel XXI secolo è parte integrante del business e quindi destinare budget per quest’area è un investimento per proteggere il patrimonio aziendale”, ha commentato Alexey Vovk, Head of Information Security di Kaspersky.

Per rendere più trasparente la comunicazione tra la sicurezza IT e le funzioni aziendali, Kaspersky consiglia di:

• Comprendere i professionisti appartenenti a un altro ambito richiede non solo empatia, ma anche conoscenze aggiuntive. Mentre gli addetti alla sicurezza informatica possono ottenere maggiori informazioni sui termini e sui concetti aziendali di base in diversi corsi di formazione, i dirigenti non informatici hanno l’opportunità di immedesimarsi nel ruolo di un CISO per ottenere approfondimenti sulle sfide più rilevanti per la sicurezza informatica.
• I manager, sia IT che non, hanno il dovere e la responsabilità di non isolarsi. Essere al corrente dell’agenda del mondo aziendale e di quello della cybersecurity è un’altra chiave per il successo della comunicazione e della comprensione reciproca.
• Gli specialisti della cybersecurity devono utilizzare argomenti affidabili e comprensibili nella comunicazione delle loro esigenze al consiglio di amministrazione per giustificare il budget destinato alla cybersecurity. Per dimostrare la probabilità dei rischi e le misure di protezione necessarie, è opportuno utilizzare informazioni sulle minacce e sulle misure di sicurezza più rilevanti per il settore e le dimensioni dell’azienda. Risorse come l’IT Security Calculator e i report basati sulle osservazioni degli esperti possono facilitare notevolmente questo compito.
• In un momento in cui le minacce IT diventano sempre più rilevanti e le aziende sono costrette ad aumentare i budget per la sicurezza informatica, è estremamente importante destinare gli investimenti in cybersecurity a strumenti di comprovata efficacia e ROI. Ciò significa che gli strumenti che riducono il livello di falsi positivi, il tempo di rilevamento degli attacchi, il tempo speso per ogni caso e altre metriche sono importanti per qualsiasi team di sicurezza informatica.