CEO Cyber-Resiliente? Non ancora.
Un’indagine di Accenture volta a indagare la cultura della cybersecurity nelle aziende rileva quanta conoscenza e dimestichezza hanno gli AD in materia di cybersecurity.
Il rapporto si basa su una ricerca condotta su 1.000 CEO di grandi aziende in 15 Paesi e in 19 settori. La stessa offre una guida pratica per il loro lavoro quotidiano nel tentativo di supportarli a raggiungere una “resilienza cibernetica” in azienda.
La fotografia di Accenture mostra che oggi gli amministratori delegati sono pienamente consapevoli delle minacce che gli attacchi IT rappresentano per le aziende. Tuttavia, la maggior parte di loro non mostra sicurezza nella capacità della propria organizzazione di evitare o ridurre al minimo tali attacchi. Il CEO Cyber-Resiliente diventa tale solo dopo che la propria azienda ha ormai subito una violazione dei sistemi.
L’attenzione alla sicurezza però sta gradualmente aumentando. Tanto che alcuni CEO stanno agendo proprio per minimizzare il rischio. Ma anche per porre la resilienza informatica al centro dei propri sforzi di re-invenzione della propria organizzazione.
Questi, che definiamo CEO Cyber “resilienti” sono consapevoli che la cybersecurity non è un’iniziativa una tantum. Riconoscono, invece, la necessità di un impegno costante per rafforzare le proprie difese e adattarsi per essere all’avanguardia.
Gli amministratori delegati devono agire contemporaneamente e in sinergia su più aree (Strategia – Talento e cultura – Ecosistema) per mettere in atto nella propria azienda una resilienza continua:
- I CEO “resilienti” migliorano costantemente i loro benchmark di prestazioni informatiche. Lo fanno per stare al passo con l’evoluzione del panorama da cui derivano le minacce.
- Valutano il programma di sicurezza dell’organizzazione. Dopo di che richiedono revisioni da parte di terzi e implementano i miglioramenti laddove necessario.
- Si preparano al blackout della cybersecurity creando e implementando un playbook completo di risposta alle crisi informatiche. Questo include aspetti chiave come il processo decisionale esecutivo e i protocolli di comunicazione interna ed esterna. Ma anche la collaborazione con i consulenti legali esterni, le forze dell’ordine e i team di risposta agli incidenti di cybersecurity di terze parti.
- Infine, agiscono come “leader”. Il loro obiettivo è guidare e dirigere la propria forza lavoro nell’utilizzo dei dati, dell’IA generativa e dell’apprendimento automatico avanzato. Questo per rilevare e proteggersi dagli attacchi informatici prima che si verifichino.
- “Ogni azienda è un’azienda digitale“: oggi la maggior parte utilizza il cloud, l’Edge computing, il 5G e l’IA generativa.
- Per il 96% dei CEO interpellati la tecnologia svolge, infatti, un ruolo fondamentale nelle loro attività di trasformazione e re-invenzione attuali e future. Ma, ovviamente, queste stesse attività aprono la porta a nuovi attacchi, rendendo l’azienda estremamente vulnerabile.
- 7 CEO su 10 hanno dichiarato che le proprie organizzazioni implementano i controlli di sicurezza per le funzioni critiche dopo che la Trasformazione è stata completata e le vulnerabilità nei sistemi sono state rilevate. Il problema è legato o ad un caso di mancanza di intervento o di ritardo nel metterlo in pratica.
CEO Cyber-Resiliente in un’era di pericolosità aumentata del 200%
L’Accenture Global Disruption Index mostra che i livelli di pericolosità sono aumentati del 200% dal 2017 al 2022.
Tra le cause più frequenti di minacce:
- TECHNOLOGY INNOVATION. Il 52% dei CEO ha classificato l’accelerazione tecnologica come il rischio principale per i cyberattacchi.
- INTERRUZIONE DELLA SUPPLY CHAIN. Il 51% degli amministratori delegati considera la supply chain come il secondo rischio esterno più elevato.
- VULNERABILITÀ AMBIENTALI. Il 90% degli amministratori delegati riconosce un legame e una dipendenza dai cambiamenti e dalle iniziative ambientali.
CEO alle prese con costi e spese per la sicurezza informatica
L’attenzione dei CEO è molto alta sul tema della sicurezza cibernetica. Soprattutto se si considerano anche i costi e le spese legati alla sicurezza informatica.
- Le perdite dovute alla criminalità informatica sono passate da 3.000 miliardi di dollari nel 2015 a 8.000 miliardi di dollari nel 2023. E si prevede che raggiungeranno i 10.500 miliardi di dollari nel 2025. Gli attacchi informatici stanno diventando sempre più complessi e frequenti e possono paralizzare rapidamente le operazioni aziendali. Anche per le grandi aziende globali con operazioni sofisticate.
- Anche la spesa per la cybersecurity è in aumento. Secondo IDC, la spesa globale per la cybersecurity ha raggiunto i 219 miliardi di dollari quest’anno. E si prevede cheraggiungerà i 300 miliardi di dollari nel 2026.
La consapevolezza delle perdite finanziarie, dei danni alla reputazione e delle interruzioni operative che i cyberattacchi possono causare, fa sì che molti CEO abbiano un crescente senso di urgenza nel gestire la cybersecurity.
- Il 96% degli amministratori delegati comprende l’importanza della cybersecurity, riconoscendo che è un fattore chiave per il business.
- Solo il 33% degli amministratori delegati concorda fortemente sul fatto di averne una conoscenza approfondita.
- Il 74% degli amministratori delegati è preoccupato per la capacità della propria organizzazione di evitare o minimizzare i danni all’azienda derivanti da un attacco informatico.
I CEO dimostrano spesso una mentalità reattiva
Non inseriscono la cybersecurity nelle loro strategie aziendali nei loro prodotti o servizi:
- il 60% di loro ha dichiarato che le loro organizzazioni non hanno introdotto la “security-by-design” fin dall’inizio.
- il 44% non considera la cybersecurity come una questione strategica. Di conseguenza, non le dedica un’attenzione costante e, poiché la cybersecurity è difficile da quantificare, sembra che sia più facile trascurarla. Più della metà che pensa che un attacco costerà loro meno che implementare le misure di cybersecurity da subito. Un atteggiamento attendista che potrebbe portare a più attacchi e a costi maggiori.
A causa di queste incertezze sulla cybersecurity, si ha la sensazione che si debba rimanere fermi ad attendere:
- è facile che ciò accada quando quasi tutti i CEO (91%) considerano la cybersecurity come una funzione tecnica guidata dagli incidenti e affermano che la conformità guida la loro strategia di cybersecurity (95%).
- solo il 15% dei CEO ha dichiarato di dedicare le riunioni di CdA alla discussione dei problemi di cybersecurity.
Tuttavia, ci sono alcuni leader che stanno cambiando approccio e la storia della cybersecurity.
- un piccolo gruppo (5%) di CEO dà la priorità alla cybersecurity per promuovere il valore aziendale con sicurezza, fiducia e resilienza. Questi CEO resilienti alla cybersicurezza rilevano, contengono e rimediano alle minacce più velocemente e riducono i costi delle violazioni.
Altre aree che le distinguono sono il modo in cui guardano a misure non finanziarie per determinare la loro posizione in materia di cybersecurity. Tra queste, la sostenibilità, i talenti, l’innovazione tecnologica e i clienti. Ma anche l’adozione di strategie a livello aziendale per reinventare le loro funzioni e unità aziendali, costruendo capacità trasversali alle funzioni e ai reparti. E incorporando la cybersecurity nelle loro strategie fin dall’inizio.
Rispetto al resto degli amministratori delegati, questo 5% di CEO cyber-resilienti sta vedendo i frutti tangibili dei propri sforzi.
- 16% di crescita incrementale dei ricavi
- 21% in più di riduzione dei costi
- 19% di miglioramento del bilancio
Si tratta di una serie di vantaggi significativi che dovrebbero costituire un campanello d’allarme per i loro pari.
Nel complesso, i CEO cyber-resilienti alle tecnologie informatiche adottano cinque azioni chiave. Queste sono basate su strategia, talento e cultura, tecnologia, ecosistemi e resilienza continua.
Questi amministratori delegati resilienti alle tecnologie informatiche adottano costantemente cinque azioni chiave:
- Includono la resilienza informatica nella strategia aziendale fin dall’inizio.
- Stabiliscono una responsabilità condivisa in materia di cybersecurity in tutta l’azienda.
- Proteggono il “nucleo digitale” nel cuore dell’azienda.
- Estendono la resilienza informatica oltre i confini e i settori della Società.
- Adottano una resilienza informatica continua per rimanere al passo con i tempi.
* Un indice di azione dei CEO cyber-resilienti, comprendente 25 pratiche che misurano la resilienza informatica.
Emerge che:
- Il 5% dei CEO cyber “resilienti” intraprende costantemente tre o più di queste azioni, senza aspettare una violazione o una scadenza di conformità.
- Il 49% dei cyber “follower” segue rigorosamente almeno due delle cinque azioni e adotta alcune pratiche delle azioni rimanenti.
- Il 46% dei “no-cyber”informatici non adotta in modo coerente o rigoroso nessuna delle azioni e rimane tipicamente bloccato in una modalità reattiva.
Ciascuna di queste cinque azioni comporta una significativa over performance rispetto ai propri pari in:
- +41% Strategia > adottando una resilienza informatica continua per rimanere all’avanguardia
- +40 % talenti e cultura> Instaurando una consapevolezza condivisa in materia di cybersicurezza
- +27% Tecnologia: Proteggendo il nucleo digitale
- +36% Ecosistema: Estendendo la resilienza informatica oltre i confini e i sistemi organizzativi
- +39% Resilienza Continua: Abbracciando la resilienza informatica continua per rimanere al passo con i tempi
- Le FASI PRATICHE DEL PERCORSO VERSO LA “RESILIENZA CIBERNETICA”
- La prima delle cinque azioni è la dimensione strategica: i CEO cyber-resilienti eccellono nell’incorporare la resilienza informatica nelle loro strategie aziendali fin dall’inizio, dando loro un vantaggio del 41% rispetto ai “no-cyber” informatici e un notevole 17% rispetto ai “follower” informatici. Integrando la cybersecurity nel loro approccio strategico, i CEO cyber-resilienti dimostrano di essere impegnati a salvaguardare le loro organizzazioni dalle minacce informatiche che si presentano e di avere una solida posizione di sicurezza.
Nel dettaglio:
Per tradurre questo approccio in strategia in azienda è opportuno:
- inserire la resilienza informatica nel tessuto aziendale, considerandola come un fattore strategico fin dall’inizio (quasi il 70% dei CEO resilienti dal punto di vista informatico lo fa, rispetto ad appena il 38% dei “no-cyber”).
- fare in modo che i leader aziendali abbraccino la cybersecurity come parte integrante dei processi decisionali e responsabilizzateli.
- fissare obiettivi chiari e richiedete un resoconto su come, quando e dove la sicurezza è stata consultata, con i rischi identificati e le soluzioni fornite durante la pianificazione strategica, l’implementazione e la durata di un’iniziativa aziendale.
- semplificare le complesse gerarchie organizzative, i processi decisionali e i flussi di lavoro operativi.
- condividere apertamente le informazioni sugli incidenti informatici, impegnarsi per la trasparenza ed essere proattivi per affrontare le minacce informatiche mantenendo solide relazioni con gli stakeholder.
- CINQUE AZIONI per seguire l’approccio proattivo dei CEO cyber-resilientinell’instaurare una cultura della cybersecurity che coinvolga i dipendenti a tutti i livelli:
- Stabilire una cultura di responsabilità condivisa, ispirando i leader aziendali a considerare la cybersecurity come un fattore di differenziazione competitiva che consente l’innovazione garantendo al contempo la sicurezza; il 70% dei nostri CEO cyber-resilienti lo fa rispetto al 37% dei no-cyber informatici.
- Costruire all’interno dell’organizzazione una cultura orientata alla cybersecurity, sottolineando l’importanza di comportamenti cyber- competenti in materia informatica a tutti i livelli.
- Sfruttare la potenza dell’innovazione, come l’IA generativa, per gestire efficacemente i carichi di lavoro, eliminare le attività ad alta intensità di lavoro e migliorare le capacità di difesa informatica.
- Passare da consumatori di talenti a creatori di talenti, assumendo persone con caratteristiche quali la curiosità, il pensiero critico e la capacità di risolvere i problemi.
- Infine, quasi il 60% dei CEO cyber-resistenti dà priorità al CaaS e concorda sul fatto che offre vantaggi quali la riduzione dei costi, il consolidamento dei fornitori e la risoluzione del gap di talenti.
Le prestazioni dei CEO sono valutate in base all’adozione di pratiche di sicurezza legate alla tecnologia per salvaguardare il nucleo digitale:
- I CEO cyber-resilienti hanno ottenuto un punteggio di 4 punti, superando i “no-cyber” informatici del 27% e i “follower” informatici dell’11%.
COME LA DIMENSIONE DELL’ECOSISTEMA SI CONCRETIZZA IN PASSI PRATICI:
- Gli amministratori delegati dovrebbero implementare politiche e controlli su misura per le terze parti e coinvolgerle in valutazioni, preparazioni e simulazioni di crisi informatiche condivise.
- Dovrebbero promuovere ambienti trasparenti e collaborativi per contenere le sorprese e ridurre al minimo l’impatto dei cyberattacchi (costruendo relazioni solide con gli stakeholder interni esperti di cyber, iniziative di condivisione delle conoscenze con i colleghi del settore e trasparenza nelle pratiche di approvvigionamento).
- Impegnarsi con gli enti governativi e il settore privato e aiutare i leader a svolgere un ruolo nella protezione dell’intersezione tra mondo cibernetico e fisico.
- È importante collegare la resilienza e la sostenibilità climatica con la resilienza della sicurezza informatica per evitare un aumento delle vulnerabilità.
- Adottare un quadro di riferimento per valutare e misurare i controlli in tutte le funzioni critiche delle catene del valore aziendali, in modo che possano supportare la reinvenzione del business e superare le interruzioni.
- Considerare il rischio di cybersecurity nella valutazione del rischio complessivo dell’impresa, dando priorità agli asset e alle operazioni che devono essere protetti.
- Infine, ma non meno importante, delle cinque azioni, la dimensione di resilienza continua dell’indice di azione dei CEO, i CEO cyber-resilienti superano i “no-cyber” informatici del 39% e i “follower” informatici del 15% in termini di resilienza informatica continua. Sono consapevoli che la cybersecurity non è un’iniziativa una tantum e riconoscono la necessità di un impegno costante per rafforzare le proprie difese e adattarsi per rimanere all’avanguardia.