Kroll, azienda specializzata nella fornitura di soluzioni dedicate alla gestione del rischio e all’advisory finanziaria, ha pubblicato il suo nuovo report Cyber Risk and CFOs: Over-Confidence is Costly, in cui si evidenzia come i Direttori Finanziari (CFO) a livello globale tendano a sottostimare i rischi legati alla sicurezza informatica, anche a causa della loro alta fiducia nelle capacità della loro azienda di saper rispondere a un incidente.
Lo studio, commissionato da Kroll e realizzato dallo StudioID di Industry Dive, ha messo in luce tre principali evidenze tratte dalle risposte date dai 180 CFO intervistati in tutto il mondo:
- Scarsa visibilità dei rischi informatici. L’87% dei CFO intervistati risulta molto o estremamente fiducioso nella capacità della propria organizzazione di rispondere agli attacchi informatici. Questo è in contrasto con il livello di visibilità che i Direttori Finanziari hanno sulle problematiche legate ai rischi informatici, dato che solo quattro intervistati su dieci partecipano a briefing regolari con i loro team IT.
- Gli attacchi informatici causano danni significativi. Quasi tre quarti (il 71%) delle organizzazioni comprese nel campione analizzato, hanno subito perdite finanziarie per oltre 5 milioni di dollari a causa di incidenti informatici avvenuti negli scorsi 18 mesi e il 61% ha subito almeno tre attacchi informatici significativi durante questo periodo. L’82% dei CFO intervistati ha affermato che le proprie aziende hanno subito una perdita del 5% o più del loro valore in seguito al più rilevante problema di sicurezza informatica avvenuto negli ultimi 18 mesi.
- Aumento degli investimenti in sicurezza informatica. Il 45% degli intervistati prevede di aumentare di almeno il 10% il proprio budget dedicato alla sicurezza informatica.
Come sottolineato in una nota ufficiale da Greg Michaels, Global Head Cyber Governance and Risk della Practice Cyber Risk di Kroll: «Spesso vediamo che i CFO non sono sufficientemente consapevoli del rischio finanziario rappresentato dalle minacce informatiche finché non devono affrontare un incidente. A quel punto, è chiaro che devono essere coinvolti non solo nel ripristino dell’operatività – inclusa la possibilità di accedere ai fondi di emergenza e l’attivazione di nuovi fornitori – ma anche nella definizione della strategia e negli investimenti relativi alla cyber security sia prima che dopo gli attacchi. In definitiva, gli attacchi informatici rappresentano un rischio finanziario per l’azienda e possono avere un impatto significativo sul suo valore. Pertanto, è fondamentale che questo aspetto sia incluso in considerazioni più ampie sul rischio aziendale. Il CFO e il CISO (Chief Information Security Officer) dovrebbero lavorare fianco a fianco, aiutando l’azienda a gestire il rischio operativo e finanziario degli attacchi informatici».
Per David Ball, Managing Director della practice Valuation Advisory Services di Kroll: «Le minacce informatiche possono potenzialmente causare danni materiali o alle attività di un’azienda, in particolare quelli immateriali, tra cui la proprietà intellettuale, le relazioni con i clienti e il valore del marchio. È importante che i CFO comprendano l’impatto degli incidenti informatici su questi asset e siano in grado di valutare e quantificare l’impatto finanziario e i potenziali rischi per l’azienda».
Focus dati zona EMEA
Il report di Kroll ha inoltre evidenziato che:
- Il 40% degli intervistati nella zona EMEA ha dichiarato di venire aggiornato su base mensile dal team IT sulle problematiche di sicurezza informatica, rispetto al 24% a livello globale;
- Il 43% dei rispondenti della zona EMEA ha riscontrato più di tre incidenti legati alla sicurezza informatica negli ultimi 18 mesi, rispetto al 61% a livello globale;
- Solo il 28% degli intervistati della zona EMEA si dichiara estremamente fiducioso nella capacità della propria azienda di rispondere a un incidente informatico nei prossimi 12 mesi, rispetto al 53% che ha affermato lo stesso a livello globale.
Come affermato da Mario Ciccarelli, Vice Presidente della practice Cyber Risk di Kroll: «I CFO non possono più ignorare le conseguenze finanziarie di un potenziale attacco informatico. È importante che comprendano l’evoluzione dello scenario delle minacce informatiche partecipando a briefing con il team di sicurezza IT, in modo che possano gestire al meglio i rischi collegati. Solo attraverso un loro maggiore coinvolgimento nella definizione degli investimenti in sicurezza informatica e nella pianificazione finanziaria relativa alla risposta agli attacchi, i Direttori Finanziari possono contribuire a migliorare la resilienza aziendale agli attacchi informatici».
Infine, come concluso da William Rimington, Co-Practice Leader EMEA Cyber Risk di Kroll: «Il nostro report fa emergere che i CFO in Europa, Medio Oriente e Africa (EMEA) siano molto più coinvolti nel team di sicurezza informatica che in altre parti del mondo. Il 40% ha infatti riferito di essere stato aggiornato mensilmente dai propri team IT, rispetto al 24% a livello globale. È interessante notare che, nonostante il minor numero di incidenti – il 43% degli intervistati nell’area EMEA ha subito più di tre incidenti di sicurezza negli ultimi 18 mesi, rispetto al 61% a livello globale – i CFO si dichiarino meno fiduciosi nella capacità della propria azienda di rispondere a un attacco informatico. Questo potrebbe essere un fenomeno culturale, o forse legato al fatto che nella regione EMEA è meno diffusa l’abitudine di stipulare un’assicurazione informatica, rendendo quindi la minaccia di un attacco informatico probabilmente più significativa per il ruolo di CFO».