Cyber Risk e imprese: come identificare e gestire i rischi informatici

A cura di Vincenzo Carolla, Managing Partner di IMC Group

Ogni impresa è minacciata continuamente da rischi che possono intaccare i sistemi informatici: furti di dati e attacchi cyber mettono in grave pericolo la continuità aziendale. Le attività a presidio di tali rischi sono diventate una priorità per tutto il tessuto imprenditoriale e istituzionale; in questi ultimi due anni abbiamo, infatti, vissuto in un’emergenza che ha imposto il cambiamento degli assetti organizzativi di aziende e PA in tempi molto brevi, con conseguenze inevitabili sulla vulnerabilità dei sistemi informatici.

Molte imprese hanno subito ingenti perdite per un blocco dei sistemi produttivi, malfunzionamenti software causati da introduzione di malware, estorsioni cyber o danni reputazionali per la pubblicazione di contenuti denigratori o diffamatori.

 

Dai dati dell’Osservatorio Cybersecurity & Data Protection – Politecnico di Milano 2020,  l’utilizzo di reti domestiche ha esposto le aziende a maggiori rischi di sicurezza e per il 49% di esse sono aumentati gli attacchi informatici. Secondo un recente report di DLA Piper, dal 25 maggio 2018, l’Italia si è classificata seconda in Europa per numero di violazioni con 83 interventi dell’Autorità Garante ed è terza per multe complessive pari a quasi 80 milioni di euro. E, secondo i dati del World Economic Forum, ben 4 aziende su 10 hanno dichiarato di aver subito attacchi informatici negli ultimi due anni.

 

Tra le minacce più frequenti alle piccole e medie imprese ci sono ransomware, furto di credenziali, phishing, spyware, malware per dispositivi mobili, violazione dei dati, condivisione di file impropria, spam malevolo, DDoS e malware. Queste tipologie di attacchi sono state, inoltre, identificate come la principale causa di preoccupazione per il 44% delle imprese nel 2022, superando in classifica le difficoltà di approvvigionamento della supply chain, i disastri naturali, il cambiamento climatico e l’evoluzione della pandemia.

 

Sebbene, però,  la cyber security inizi a rappresentare un’urgenza anche per le aziende meno strutturate, da un’analisi dei dati emerge che soltanto il 22% delle PMI sia riuscita a  stanziare dei fondi per la tutela di questi rischi, il 20% ha dovuto ridurre i costi in seguito all’emergenza e ben un’azienda su tre non ha un budget da dedicare a questa attività. Inoltre, nel panorama europeo, meno del 30% delle piccole e medie imprese si avvale della valutazione del rischio ICT, contro il 70% delle grandi aziende, a causa della mancanza di fondi  per sviluppare le infrastrutture o per assenza di consapevolezza.

 

Le tradizionali misure di sicurezza, però, non bastano più, le imprese devono lavorare e creare sistemi di protezione. Il primo step per combattere eventuali attacchi informatici è la prevenzione e la mappatura del perimetro di vulnerabilità del dato informatico: è necessario identificare le risorse della propria azienda, mettendo a fuoco i punti critici della propria infrastruttura elettronica e i differenti scenari di rischio e capire come si possano mitigarli.

 

Bisogna, inoltre, considerare il contributo di tutto il personale aziendale che deve essere formato e sostenuto dal Top Management; accanto ai tradizionali antivirus, è importante definire delle best practice condivise di prevenzione e protezione da attuare, come firewall, controlli degli accessi, piani di disaster recovery e eventuali sistemi di crittografia.

 

Oltre a valutare di trasferire il rischio residuo a un broker assicurativo, è importante, inoltre, che le imprese sviluppino una cultura di prevenzione efficace e predittiva dei rischi e si dotino degli strumenti di controllo interno  in grado di integrare i diversi livelli di operatività, come ad esempio: l’implementazione del sistema di monitoraggio dei rischi, anche attraverso l’applicazione dell’intelligenza artificiale e del machine learning per identificare relativi indicatori predittivi della rischiosità; la definizione del framework e la progettazione di sistemi per la gestione integrata e digitalizzata dei processi di gestione dei rischi, dei controlli e delle relative azioni correttive; la definizione di modelli e l’implementazione delle soluzioni tecnologiche per la gestione degli adempimenti.

 

Gli attacchi informatici sono sempre più frequenti e le imprese, soprattutto di grandi dimensioni, sono sotto l’occhio dei cybercriminali. La tecnologia e l’implementazione di un piano di gestione integrata dei rischi risultano, quindi, elementi fondamentali nel supportare le aziende a essere più cyber-resilienti, soprattutto in presenza di particolari complessità.

 

*IMC Group

IMC Group è una società di consulenza manageriale, con oltre 20 anni di esperienza, che aiuta le aziende a raggiungere un futuro di successo coniugando strategie, piani operativi e soluzioni tecnologiche. Dal 2012 IMC Group progetta e realizza soluzioni in grado di accelerare il cambiamento all’interno delle organizzazioni rendendolo parte integrante della cultura aziendale e del modo di competere sul mercato; le nostre soluzioni agiscono su persone, processi, tecnologie e rischi. I principali servizi che offriamo sono legati ai seguenti settori: Process Management, Governance Risk & Compliance, Dimensionamento Organizzativo Fund Raising Proposal & Project Management, IT Strategy & Governance, Performance Management, Formazione, Outsourcing – Cosourcing.

ALTRI ARTICOLI

Learn how we helped 100 top brands gain success