Cyber risk, le aziende non si proteggono
Alla diffusione della conoscenza dei rischi informatici non corrisponde l’impegno a investire su piani di risk mitigation. Lo si evince dai risultati della Cyber Risk Survey, patrocinata da Anra e condotta dall’Università di Verona, in collaborazione con la piattaforma di risk management Riesko
Le aziende italiane conoscono bene il rischio cyber ma appaiono anche impreparate nell’adozione di piani di risk mitigation, nella promozione di progetti di formazione e nell’adeguamento dei budget. Queste alcune delle conclusioni cui è arrivata la Cyber Risk Survey, patrocinata da Anra e condotta dall’Università di Verona in collaborazione con Riesko, piattaforma di risk management aziendale che ha raccolto ed elaborato i dati del campione di circa 250 aziende, più della metà appartenenti al settore informatica ed elettronica e finanza, assicurazione ed amministrazione.
La ricerca ha verificato che, nella maggior parte delle volte, l’errore umano è il fattore principale di vulnerabilità degli attacchi, ma le polizze assicurative per i rischi cyber sono ancora poco conosciute. Il 72% degli intervistati ritiene di possedere una conoscenza adeguata riguardo ai rischi cyber e in generale nei confronti della sicurezza informatica. Inoltre, una percentuale paragonabile (70%) possiede una “buona conoscenza dell’impatto che la sicurezza informatica ha sulla continuità operativa”. Tuttavia, il cyber risk è considerato come prevalentemente tecnico e quindi soprattutto legato ai sistemi IT. Il risultato di questo ragionamento è che solo poco più di metà delle aziende intervistate (55%) si è attrezzata con piani di risk mitigation.
Alla diffusione della conoscenza dei rischi cyber non corrisponde l’impegno a investire su piani formali di risk mitigation: molte realtà, peraltro, preferiscono appaltare la risoluzione di questi problemi all’esterno, con soluzioni di outsourcing (64%).
Come si diceva, l’aumento della consapevolezza e gli attacchi subiti non hanno generato un impegno concreto in termini di formazione e investimento in competenze e risorse: solo il 49% degli intervistati adotta processi strutturati di formazione del personale, e per il 70% di questi l’investimento è minimo, cioè meno del 15% del budget.
In termini di budget dedicato al rischio informatico il 69% delle aziende investe meno del 30% in programmi assicurativi; mentre il 67% investe meno del 30% in servizi di monitoraggio.
Risultano tuttavia elevati gli investimenti in backup, anche se, ricorda l’analisi, non molto utili in assenza di un disaster recovery plan fatto ad arte.
La cultura del rischio in azienda, insomma, è ancora poco radicata, nonostante più della metà del campione (53%) ritenga al momento adeguati i sistemi di trattamento adottati. Infine, per quanto riguarda gli strumenti assicurativi, i dati dimostrano che il 58% li conosce e la metà (49-51%) li adotta. Il 32% delle aziende esprime invece ancora delle riserve sul loro utilizzo, mentre il 17-23% ne è completamente sprovvisto.
© RIPRODUZIONE RISERVATA
👥