Gestione del rischio informatico: la consapevolezza da sola non basta

Gli organi di controllo sono sempre più chiamati ad adempiere ai loro doveri legali di controllo e supervisione anche nell'affrontare i rischi informatici, secondo i risultati di un nuovo studio sulla gestione dei rischi informatici nelle aziende. Oltre all'obbligo legale, ci sono anche buoni motivi dal punto di vista economico per investire nella gestione dei rischi informatici, secondo lo studio condotto dalla Scuola universitaria professionale di Lucerna in collaborazione con l'assicuratore Mobiliare e l'organizzazione mantello delle imprese economiesuisse. Dopo tutto, gli attacchi informatici potrebbero causare danni considerevoli alle organizzazioni, che nel caso peggiore potrebbero significare multe elevate, una grave perdita di reputazione, il ritiro delle licenze operative o il fallimento.

Una nave senza capitano: mancanza di dichiarazioni sulla preparazione al rischio informatico

Secondo lo studio, molte aziende sembrano mancare fondamentalmente di una base centrale per la gestione dei rischi informatici: Nessuna delle organizzazioni intervistate ha definito esplicitamente la misura in cui i rischi informatici devono essere consapevolmente assunti per raggiungere gli obiettivi aziendali. "Da una prospettiva di gestione del rischio, questo è paragonabile a una nave che non ha un capitano", dice Stefan Hunzikerautore dello studio e responsabile del Centro di competenza per la gestione del rischio e della conformità presso l'Università di Scienze Applicate e Arti di Lucerna. A quanto pare, sviluppare le cosiddette dichiarazioni di propensione al rischio è molto difficile nella pratica. Lo studio HSLU mostra anche che esiste un divario tra il livello tecnico dell'infrastruttura IT e il livello organizzativo nell'affrontare i rischi informatici. "I rischi informatici sono ancora troppo considerati come un problema puramente informatico. Di conseguenza, sono gestiti in modo decentrato e operativo e non sono sufficientemente integrati nella gestione del rischio a livello aziendale", spiega Hunziker. Qui si nota una discrepanza tra la rilevanza del rischio (consapevolezza) e la "governance del rischio". "Questa circostanza impedisce un confronto coerente - e quindi anche una prioritizzazione significativa - dei rischi informatici e delle altre categorie di rischio a livello di top management", afferma l'esperto. Come primo passo nella giusta direzione, raccomanda di promuovere la collaborazione tra il Chief Information Security Officer (CISO) e il Risk Manager. "Perché è qui che si crea il ponte tra la sicurezza informatica tecnica e la gestione dei rischi aziendali", spiega Hunziker.

La questione del rischio "umano": sono necessari ulteriori investimenti

Spesso, le misure più semplici e ugualmente efficaci per affrontare i rischi informatici sono ancora trascurate. Stefan Hunziker: "La definizione dei rischi informatici può quindi essere anche un po' fuorviante, poiché molte cause di rischio non si trovano nel cyber spazio, ma nella cattiva condotta umana. È utile fare un'analogia con la medicina, dove è noto da tempo che un comportamento umano corretto impedisce la trasmissione delle malattie. La disinfezione regolare, il lavaggio disciplinato delle mani e il mantenimento della distanza sono comportamenti consolidati - almeno dallo scoppio della pandemia di Corona. Il presente studio conferma che il "fattore umano", o il comportamento umano, non è ancora affrontato abbastanza nell'area della sicurezza informatica rispetto alle misure tecniche. "Il fattore umano è solo un elemento nel processo di miglioramento continuo della sicurezza informatica, ma è molto importante", dice Hunziker. Il comportamento umano nell'affrontare la sicurezza informatica dovrebbe essere addestrato in modo tale che diventi naturale e "normale" come starnutire nella piega del braccio.

Gestione del rischio informatico e migrazione cloud

Molti rischi informatici sono causati dall'uso del cloud. È quindi ancora più importante che le organizzazioni pianifichino bene il passaggio al cloud e lo accompagnino con misure adeguate. "La creazione di una strategia chiara è l'inizio di una migrazione al cloud ben pianificata", afferma Armand Portmann, autore dello studio e responsabile dell'area Information & Cyber Security | Privacy presso il Dipartimento di Informatica dell'Università di Scienze Applicate e Arti di Lucerna. Fortunatamente, la maggior parte delle organizzazioni intervistate dispone di un documento che descrive le condizioni quadro per l'introduzione e l'utilizzo dei servizi cloud. Ciò permette di concludere che il tema del cloud computing gode ora di attenzione anche negli organi di gestione. "C'è la consapevolezza che l'uso dei servizi cloud è associato a dei rischi", afferma Armand Portmann. Tuttavia, quando si tratta di definire i rischi legati all'utilizzo dei servizi cloud, le organizzazioni intervistate non sono a corto di risposte. "Tra i primi tre ci sono la perdita di riservatezza, rispettivamente la violazione della protezione dei dati, la dipendenza dal fornitore di servizi cloud e le questioni di responsabilità", spiega Fernand Dubler, autore dello studio e ricercatore associato presso l'Università di Scienze Applicate e Arti di Lucerna. L'argomento è complesso. Non sorprende quindi che le misure necessarie per mitigare questi rischi non siano semplici. Dubler aggiunge: "Queste misure sono estremamente diverse e devono essere sviluppate individualmente a partire dalla situazione concreta di outsourcing. Questo spesso pone sfide molto grandi per le organizzazioni interessate". Fonte e ulteriori informazioni: Università di Lucerna

Questo articolo è apparso originariamente su m-q.ch - https://www.m-q.ch/de/cyber-risk-management-bewusstsein-allein-reicht-nicht/