A cura di Jay Chaudhry Chief Executive Officer, Chairman and Founder, Zscaler
Le tecnologie innovative, come la mobilità, il cloud, l’IoT e l’IA, hanno cambiato radicalmente le nostre vite. Hanno trasformato il nostro modo di vivere e lavorare in modi che non avremmo mai potuto immaginare fino a pochi anni fa. Se da un lato queste tecnologie hanno portato un gran numero di vantaggi alle aziende, dall’altro hanno cambiato il modo di condurre le attività e introdotto una serie di nuovi rischi informatici. Con tutto ciò che è online e i dati che risiedono ovunque, il settore informatico rappresenta il più grande rischio per le aziende.
Il costo medio globale di una violazione dei dati nel 2023 è stato di 4,45 milioni di dollari, con un aumento del 15% negli ultimi tre anni e senza segni di rallentamento. I leader aziendali devono comprendere le sfumature della cybersecurity e del rischio e come gestirlo efficacemente per garantire la sicurezza delle loro aziende, dei loro clienti e dei loro prodotti.
Il rischio è ovunque, e questo fatto fondamentale è vero anche nel mondo degli affari. Con l’aumento della digitalizzazione delle attività di business, le aziende devono ora concentrarsi sulla protezione dei loro beni digitali, come i dati dei clienti e dei dipendenti, proprio come farebbero con i loro beni fisici – i loro uffici e le loro attrezzature. Tuttavia, man mano che i dati digitali diventano la spina dorsale dell’azienda, aumenta anche il loro valore per i criminali informatici e il danno potenziale di una violazione per un’azienda può includere reputazioni danneggiate, furto di proprietà intellettuale e perdita di fatturato.
Poiché è impossibile eliminare completamente il rischio d’impresa e la parte informatica costituisce la parte più consistente di tale rischio, i leader dovrebbero invece concentrarsi sulla gestione del rischio, identificando ciò che è mission-critical per la loro azienda e determinando quindi il modo migliore per proteggerlo.
Esame dei diversi tipi di rischi di cybersecurity
Per gestire efficacemente il rischio, i vertici aziendali devono effettuare una valutazione olistica del rischio aziendale e valutare la propensione al rischio dell’azienda. Oltre al rischio informatico, i manager devono considerare anche altri tipi di rischio, come il rischio operativo, il rischio di credito e il rischio di mercato, e suddividerli in tre categorie:
- Rischio mitigabile – la quantità di rischio che può essere mitigata con investimenti in tecnologia, formazione e risorse aggiuntive.
- Rischio trasferibile – la quantità di rischio che può essere trasferita a terzi attraverso l’assicurazione.
- Rischio accettabile – la quantità di rischio che può essere accettata dall’azienda (definita anche perdita accettabile).
È importante ricordare che non tutti i rischi sono uguali: nell’odierno mondo aziendale guidato dalla tecnologia digitale, a detta di tutti, il settore informatico rappresenta ancora il rischio maggiore per le aziende moderne.
I requisiti normativi pongono nuove aspettative ai leader
Il ruolo preponderante della parte informatica nell’equazione del rischio aziendale si riflette nelle recenti azioni governative volte a regolamentare diverse aree legate alla cybersecurity, come la segnalazione e la divulgazione di incidenti informatici e la realizzazione di prodotti digitali.
Tra gli esempi di regolamentazione governativa si può citare il mandato della Securities and Exchange Commission del luglio 2023, che impone alle società pubbliche con sede negli Stati Uniti di divulgare gli incidenti rilevanti e di fornire informazioni sulle loro strategie di gestione del rischio di cybersecurity, allo scopo di garantire una divulgazione coerente e utile per le decisioni in merito all’esposizione di un’azienda ai rischi e agli incidenti di cybersecurity. Recentemente, il Parlamento europeo e il Consiglio dell’UE hanno raggiunto un accordo sulla legislazione nell’ambito del Cyber Resilience Act, che impone ai produttori di dispositivi connessi di segnalare gli incidenti informatici gravi e le vulnerabilità sfruttate attivamente.
È chiaro che questi sviluppi dimostrano il crescente impatto della cybersecurity sulle imprese, ma ritengo che un approccio equilibrato sia il più prudente quando si tratta di regolamentazione governativa. Sebbene un certo livello di supervisione governativa sia necessario, un’eccessiva regolamentazione può anche soffocare l’innovazione, danneggiando le imprese e, in ultima analisi, le economie in generale.
Tuttavia, l’aumento dei mandati normativi impone ai leader aziendali di comprendere con attenzione l’impatto commerciale di una violazione informatica nel contesto della gestione del rischio.
Altre considerazioni per la gestione del rischio
Le imprese e l’industria sono ambienti dinamici e, quando si tratta di informatica, la tecnologia può portarci solo fino a un certo punto. I criminali informatici evolvono le loro tecniche a un ritmo allarmante e la posta in gioco diventa sempre più alta. Tuttavia, con una spesa informatica ai massimi storici, pari a 219 miliardi di dollari per soluzioni tradizionali, come firewall e VPN, perché non si assiste a una drastica riduzione degli incidenti informatici?
La risposta è l’inerzia. I vertici aziendali devono essere consapevoli dello svantaggio che l’inerzia comporta nella gestione del rischio informatico. Poiché il cambiamento è scomodo, molte aziende continuano a fare quello che hanno sempre fatto, implementando soluzioni tecnologiche tradizionali nella speranza che l’aumento degli investimenti risolva il problema. Ma, come si suol dire, “quello che ci ha portato qui non ci porterà lì”, perché il gioco è fondamentalmente cambiato, il che significa che anche le attuali modalità di difesa informatica devono cambiare. I manager aziendali devono essere aperti a nuovi approcci, come le architetture Zero Trust, per proteggersi da minacce in continua evoluzione.
L’unico modo per combattere questa situazione è cambiare la mentalità attuale, modificare le aspettative e accogliere il cambiamento. Questo avviene gradualmente e richiede che i leader aziendali attingano a fattori non tecnologici, come l’instaurazione di una cultura progressiva e consapevole del rischio che inserisca l’informatica in tutti i processi attraverso una leadership trasparente e una comunicazione aperta.
La realtà è che gli attacchi informatici continueranno a verificarsi, soprattutto con il progredire delle tecnologie, come l’intelligenza artificiale, e con la scoperta da parte degli attori delle minacce di nuovi modi per sfruttare le vulnerabilità, per cui la migliore difesa di un’azienda consiste nel valutare accuratamente il proprio rischio, nell’impiegare tecniche per gestire efficacemente tale rischio e nello sviluppare una strategia di cybersecurity che sia in linea con il profilo di rischio dell’azienda. Non si tratta di un approccio unico, ma ci sono passi, come quelli descritti sopra, e approcci collaudati, come l’implementazione di un’architettura Zero Trust, che possono aiutare un’azienda a costruire una solida base per rafforzare le proprie difese contro le minacce informatiche.
