Nel 2023 la superficie di attacco è cresciuta in maniera esponenziale a causa della continua digitalizzazione, ma le imprese non sono in grado di far fronte ai rischi cyber in modo efficace. Un dato particolarmente allarmante è che solo un’organizzazione su tre dispone delle risorse necessarie per garantire la sicurezza informatica 24 ore su 24, 7 giorni su 7. Questo dato, combinato con l'assenza di una chiara leadership aziendale, mina profondamente la resilienza delle imprese, esponendole a rischi sempre più elevati.

Sono queste alcune delle considerazioni che si traggono dall’indagine globale di Trend Micro dal titolo Underfunded and Unaccountable: How a Lack of Corporate Leadership is Hurting Cybersecurity condotta a luglio 2024 su un campione di 2.600 decision maker IT in diverse aree del mondo, tra cui Europa, Nord America, Asia-Pacifico, America Latina e Medio Oriente. In Italia sono stati intervistati 100 responsabili IT, evidenziando che le problematiche riscontrate a livello globale si riflettono anche nel Belpaese.

Partecipa agli ItalianSecurityAwards 2024 ed esprimi il tuo voto premiando le soluzioni di cybersecurity che reputi più innovative

Le preoccupazioni manifestate

Come accennato, uno dei principali fattori di preoccupazione riguarda l'incapacità delle aziende di mantenere una copertura di sicurezza continua. In particolare, solo il 36% delle imprese intervistate ha dichiarato di avere personale sufficiente per garantire la protezione costante delle infrastrutture informatiche, mentre solo il 35% utilizza tecniche di gestione della superficie di attacco per monitorare e mitigare i rischi associati. Ancora più preoccupante è il fatto che solo il 34% delle aziende segue i principali quadri normativi internazionali, come il NIST Cybersecurity Framework, evidenziando una mancanza di attinenza agli standard che potrebbero garantire una maggiore protezione.

La mancanza di una guida chiara da parte del top management è uno dei temi centrali dell'indagine. Circa la metà dei leader IT (48%) che hanno risposto reputa che i vertici aziendali non considerino la sicurezza informatica una priorità diretta. Un approccio discutibile che, combinato con la scarsa chiarezza su chi si debba assumere la responsabilità della gestione del rischio cyber, porta a una frammentazione nella strategia di sicurezza. In definitiva, chi deve assumersi la responsabilità della mitigazione dei rischi informatici? il 42% degli intervistati ritiene che debba essere il CEO, ma una significativa porzione di partecipanti ritiene che il compito spetti al CIO (34%) o al CISO (26%). È proprio la disomogeneità nella percezione di questi ruoli a creare confusione e a sfociare in una mancanza di coordinamento che può rivelarsi dannosa per l'efficacia della sicurezza aziendale.

L’atteggiamento verso il rischio informatico

Oltre alla carenza di leadership, la ricerca sottolinea che l'atteggiamento delle organizzazioni verso il rischio informatico è incoerente e spesso variabile. Il 54% degli intervistati ha dichiarato che la strategia della propria azienda cambia frequentemente, ostacolando un approccio coeso e lungimirante e impedendo di fatto di affrontare adeguatamente le minacce. Anzi, è opinione diffusa che tale approccio aumenti il rischio che le organizzazioni abbiano un approccio reattivo anziché uno preventivo.

Il report rivela inoltre che il 96% dei leader IT è preoccupato per l'espansione della superficie di attacco delle proprie organizzazioni. Un timore che si accompagna alle difficoltà pratiche nella gestione delle minacce: il 36% degli intervistati ha dichiarato di non avere strumenti adeguati per identificare, valutare e mitigare le aree ad alto rischio. Il 19% ha segnalato di non poter lavorare su una piattaforma centralizzata che agevolerebbe una visibilità complessiva.

Le conseguenze di queste lacune sono importanti. Negli Stati Uniti il numero di violazioni segnalate ha raggiunto il massimo storico nel 2023, con oltre 353 milioni di persone colpite da attacchi cyber. Inoltre, la crescente pressione normativa non ha avuto l’effetto sperato sull’atteggiamento delle aziende di reagire solo dopo aver subito perdite significative.