Attacchi informatici: Necessità di azione da parte dei consigli di amministrazione
Una grande azienda su due è già stata vittima di un attacco informatico. In molti casi, la conseguenza è l'interruzione dell'attività. La 14a edizione dello swissVR Monitor di Deloitte mostra che, sebbene la consapevolezza dei rischi sia in aumento, molte aziende non hanno una strategia informatica chiaramente formulata. L'indagine conclude che le situazioni di emergenza sono raramente provate e che il reporting del management al consiglio di amministrazione deve essere migliorato.
La minaccia di attacchi informatici è in aumento. Le grandi aziende sono particolarmente colpite: il 45% delle imprese con oltre 250 dipendenti è già stato vittima di un attacco informatico almeno una volta. È quanto emerge dall'ultimo swissVR Monitor, un'indagine semestrale condotta dall'Associazione dei Consigli di Amministrazione di swissVR in collaborazione con la società di revisione e consulenza Deloitte Svizzera e l'Università di Scienze Applicate e Arti di Lucerna. Per lo studio sono stati intervistati 400 membri del consiglio di amministrazione sul tema centrale della "resilienza informatica".
A differenza delle grandi aziende, le PMI sembrano essere molto meno colpite: Solo il 18% delle aziende con meno di 50 dipendenti riporta un attacco grave. Il collegamento tra le dimensioni dell'azienda e la frequenza degli attacchi è evidente: le grandi aziende sono più esposte a livello globale e offrono ai criminali informatici superfici di attacco più ampie. Un'altra spiegazione del livello di preoccupazione presumibilmente più basso tra le aziende più piccole è la parziale mancanza di segnalazione di tali incidenti al consiglio di amministrazione.
L'interruzione dell'attività è la conseguenza più frequente
Gli attacchi informatici hanno spesso gravi conseguenze per l'attività operativa. La conseguenza di gran lunga più frequente è l'interruzione dell'attività. Questo è il caso del 42% delle aziende colpite da un attacco informatico (vedi grafico 1). I processi operativi delle aziende del settore delle tecnologie dell'informazione e della comunicazione sono particolarmente a rischio. In questo settore, il 69% delle aziende colpite ha subito un'interruzione dell'attività. Anche le fughe di dati e i malfunzionamenti di prodotti o servizi sono conseguenze frequenti. In alcuni casi, gli attacchi informatici hanno conseguenze anche al di fuori dell'azienda stessa: l'11% degli intervistati lamenta attacchi successivi ai clienti. Sebbene la perdita di beni sia rara, le conseguenze finanziarie non devono essere sottovalutate. Oltre alla perdita di fatturato dovuta all'interruzione dell'attività, vi è la minaccia di elevati costi di follow-up, ad esempio per il recupero dei dati.
La resilienza agli attacchi informatici sta assumendo un'importanza sempre maggiore
Le conseguenze di vasta portata sono chiare: ogni PMI deve affrontare i rischi informatici. "Oggi questo tema è parte integrante di una buona governance aziendale. Fortunatamente, molte aziende lo hanno già riconosciuto. Ma c'è sicuramente ancora del potenziale. La nostra indagine mostra che la resilienza informatica sta assumendo un'importanza crescente in tutti i settori. Questo deve riflettersi anche nel processo di gestione del rischio e della strategia di ogni azienda", afferma Mirjam Durrer, docente dell'Università di Scienze Applicate di Lucerna e dell'Istituto di Servizi Finanziari di Zug IFZ. Il 95% dei membri dei consigli di amministrazione intervistati ritiene che l'importanza della resilienza informatica per la propria azienda sia aumentata negli ultimi tre anni. La maggioranza osserva addirittura un forte aumento, in cui la valutazione dipende in modo significativo dalle dimensioni dell'azienda. Anche in questo caso si riflette la correlazione tra dimensioni e livello di minaccia.
La sicurezza informatica non è ancora una priorità assoluta in tutto il mondo.
L'85% degli intervistati afferma che il proprio consiglio di amministrazione segue le tendenze e gli sviluppi attuali nel campo della resilienza informatica (cfr. grafico 2). Otto consigli su dieci hanno anche una politica di rischio che affronta le minacce informatiche. Ciononostante, è necessario agire, sottolinea Klaus Julisch, Head of Risk Advisory di Deloitte Svizzera: "La consapevolezza dei rischi sta aumentando, il che è positivo. A parte questo, l'argomento non ha ancora raggiunto i consigli di amministrazione di tutto il mondo. Quasi la metà delle aziende non ha una chiara strategia informatica. Le aziende svizzere e i loro consigli di amministrazione devono quindi assumersi una responsabilità ancora maggiore per quanto riguarda la resilienza informatica".
Solo un terzo prova l'emergenza
Anche la preparazione alle emergenze può essere migliorata. Solo un membro del consiglio di amministrazione su tre conferma che il consiglio di amministrazione fa almeno in parte delle prove di gestione delle crisi. Il quadro è leggermente migliore nel settore finanziario: circa un'azienda su due in questo settore effettua regolarmente una formazione sulle crisi. Inoltre, il settore finanziario ha la percentuale più alta di polizze assicurative contro le minacce informatiche, pari al 58%.
C'è spazio per migliorare anche il reporting al consiglio di amministrazione: solo circa un terzo degli intervistati viene regolarmente informato dalla direzione sui principali rischi informatici o sulla propria strategia informatica. Una buona metà dei consigli di amministrazione riceve rapporti sulla situazione generale delle minacce, sugli attacchi informatici in corso nell'azienda o sulla necessità di azioni e investimenti per rafforzare la resilienza informatica.
Fonte: Deloitte
