Lacune nella comunicazione e nel coordinamento bloccano una risposta cyber efficace, anche per le organizzazioni che dispongono di piani di risposta alle crisi; un sovraccarico di strumenti complica la risposta agli incidenti per molte organizzazioni; spesso le esercitazioni pratiche in tema sicurezza non prevedono il coinvolgimento di davvero tutte le figure interessate. Sono queste le tre rilevanze principali che Semperis sottolinea dopo aver condotto uno studio sulla capacità delle imprese di tutto il mondo - Italia compresa - nel rispondere agli incidenti cyber.

A prima vista lo scenario della "preparazione cyber" delle aziende sembrerebbe positivo, spiga Semperis. Secondo quanto afferma il campione indagato nell'indagine "The State of Enterprise Cyber Crisis Readiness", il 96% delle aziende ha un piano di risposta per le crisi e l'83% lo ha anche integrato nella strategia complessiva di crisis management. Inoltre, nei 12 mesi precedenti l'indagine il 90% dei "crisis response team" era stato attivato proprio per un incidente cyber.

Queste premesse positive non sembrano però tradursi in risultati concreti all'altezza. Sempre riferendosi ai 12 mesi precedenti l'indagine, il 36% delle imprese aveva subìto più incidenti cyber importanti e ben il 71% almeno uno che aveva bloccato funzioni critiche di business.

A creare questo gap tra la teoria e la pratica della cyber-response è sopratutto, secondo Semperis, la poca efficacia delle comunicazioni in caso di incidente. In questi frangenti servono sistemi di comunicazione cosiddetti "out of band", perché quelli tradizionali (email, messaging e via dicendo) possono essere bloccati dall'incidente stesso che si cerca di gestire. Ma solo'85% delle imprese ha questo tipo di sistemi di comunicazione e ben il 21% non usa lo stesso sistema per tutti i team coinvolti (o non è sicuro che sia così). Quindi, addio comunicazioni efficaci e coerenti proprio quando sarebbero più necessarie.

Altro problema chiave: le aziende pensano di essere più preparate ad affrontare le emergenze cyber di quanto non sia nella realtà. Spesso, quando un incidente cyber avviene davvero le aziende si accorgono in particolare che i loro piani di risposta non sono più adeguati perché nel frattempo i processi di business sono cambiati. Inoltre, ruoli e responsabilità si rivelano all'atto pratico meno chiari del previsto. E le simulazioni "da tavolo" si scopre che non coinvolgono parti importanti dell'azienda - come i team dedicati al disaster recovery e alla business continuity - che sono invece fondamentali.

Lo scenario italiano

I risultati espressi dal campione di aziende italiane indagato da Semperis sono spesso in linea con la media globale ma, quando non lo sono, evidenziano la necessità di affrontare in maniera più strutturata le crisi cyber. Ad esempio, non c'è praticamente differenza tra Italia e resto del mondo per quanto riguarda la quota di imprese che hanno un piano di cyber response (95% Italia, 96% media globale) o che eseguono regolarmente esercitazioni per testarli (77% Italia, 78% media globale).

Si vedono però scarti da non sottovalutare nella quota di aziende i cui piani cyber sono integrati con quelli più generici di gestione delle crisi (77% Italia, 83% media globale) e nella percentuale delle organizzazioni che aggiornano regolarmente i playbook da mettere in atto in caso di emergenza (58% Italia, 72% media globale). Ed è importante anche sottolineare che nella gran parte delle imprese italiane le simulazioni degli scenari di crisi trascurano molti importanti dipartimenti non IT. Solo il 20% delle aziende nazionali coinvolge i dipartimenti Legal, Finance e HR, solo il 30% i team di business continuity, solo il 53% i team di disaster recovery.

"Oggi l’Italia si trova altamente esposta, eppure spesso ancora impreparata. I dati parlano chiaro: solo il 14% degli stakeholder aziendali in Italia partecipa attivamente a simulazioni di crisi. È urgente un cambiamento di mentalità", ha dichiarato in questo senso Antonio Feninno, Area Vice President di Semperis per il Sud Europa.

Questo cambiamento di mentalità potrebbe, forse, portare l'Italia più in linea con i risultati globali anche per quanto riguarda la rilevazione degli incidenti cyber critici. Solo il 12% delle imprese italiane ha infatti dichiarato di aver registrato più di un incidente cyber nell'anno precedente all'indagine Semperis: una quota troppo bassa per essere realistica, specie se raffrontata alle molte altre analisi che vedono l'Italia bersagliata da attacchi cyber in numero decisamente superiore al suo peso sullo scenario economico e geopolitico globale.