Skip to main content

Il 2022 è stato l’anno peggiore in termini di crimini informatici a danno delle aziende: a livello globale si stima un aumento di circa il 38% rispetto al 2021. Una situazione molto critica se consideriamo che il 2021 aveva registrato un aumento di oltre il 100% rispetto al 2020 e di oltre il 300% rispetto al 2019. Le aziende iniziano ad avere consapevolezza dei rischi che corrono e, generalmente, stanno investendo in cybersicurezza a un ritmo impensabile solo un paio di anni fa; tuttavia, il 2023 pone nuove sfide in termini di governance e cyber risk management.

Il nodo della governance

In questo momento, i budget per il 2023 sono già stati chiusi e le previsioni di spesa determinate, con le organizzazioni più virtuose che hanno accantonato fondi ulteriori per “cyber-eventi” inaspettati. E proprio su questo aspetto si registrano le tensioni maggiori tra i vertici aziendali. L’aumento dell’inflazione, dei tassi di interesse e gli attuali scenari geopolitici suggeriscono una probabile recessione nel 2023. Da sempre la security è vista più come un centro di costo che come un investimento, non fosse altro che il suo ROI non è facilmente calcolabile. Le aziende che non hanno a disposizione budget sufficienti o riserve adeguate, dovranno affidarsi a CISO e a team di sicurezza esperti per pianificare attentamente gli investimenti e mantenere delle configurazioni minime di sicurezza adeguate ai rischi.

Di fronte a questa nuova rilevanza in termini economici della spesa per la cybersicurezza, non sempre gli attuali modelli di governance sono in grado di attribuire alle figure tecniche la giusta dose di leadership e accountability per assumere decisioni strategiche senza dover prima bussare alla porta del consiglio di amministrazione, dell’amministratore delegato e del CFO.

La sicurezza informatica pone quindi alle aziende un tema di governance. Una cybersicurezza inadeguata rispetto ai rischi dell’organizzazione può avere impatti operativi (per esempio un ransomware in grado di bloccare gli ambienti di produzione senza adeguati piani di business continuity e disaster recovery), finanziari (non solo la perdita di produttività in caso di downtime dei sistemi, ma anche potenziali sanzioni GDPR) e reputazionali. La catena di comando dev’essere quanto più possibile snella per tradurre le esigenze tecniche in decisioni operative, a volte in tempo reale.

Anche se la maggior parte degli organi di governo delle società si sono già confrontati con le minacce cibernetiche, è ancora molto difficile trovare seduti nei board i CISO o i CIO.

Le aziende con Consigli di Amministrazione in scadenza, dovranno, pertanto, valutare necessariamente con estrema attenzione l’inserimento all’interno del board di almeno una figura con competenze tecniche che possa aiutare non solo a dirigere il proprio dipartimento, ma anche ad indirizzare le scelte strategiche della società.

Le persone al centro

Gli aspetti organizzativi non sono l’unico tema caldo del 2023. In un mondo nel quale si prevede un ulteriore impennata degli attacchi informatici indipendentemente dal settore o dalla dimensione, con il settore sanitario in cima alla whishlist degli hacker, la prima linea di difesa restano le persone. La formazione in ambito sicurezza informatica di tutto il personale e la talent retention delle figure tecniche chiave, devono essere in cima alle agende dei responsabili delle risorse umane.

Il training e awareness dei dipendenti è ancora l’area principale in cui le organizzazioni sanno di dover aumentare gli investimenti. Tuttavia le risorse tecniche continueranno ad essere molto difficili da individuare. I cambiamenti introdotti a causa dalla pandemia, lo smart working e una domanda che supera di molto l’offerta, hanno reso, nell’anno appena concluso, molto difficile per le aziende trattenere le proprie risorse e trovare nuovi talenti. Una maggiore flessibilità organizzativa rispettosa delle esigenze personali, accompagnata da offerte retributive migliori, sono alla base di questa vivace mobilità delle figure tecniche.

È pertanto fondamentale che i responsabili delle risorse umane lavorino a stretto contatto con gli IT/ITSEC per affinare al meglio le proprie competenze nella selezione del personale tecnico, concedendo spazio alla negoziazione individuale per attrarre i profili migliori.

Un quadro normativo sempre più tecnico

Inoltre, le aziende dovranno confrontarsi, sul fronte legislativo, con nuove norme dai contenuti sempre più tecnici. Entro la fine del 2023, infatti, circa il 75% dei dati personali della popolazione mondiale saranno protetti da leggi ad hoc. Per le aziende che offrono beni e servizi su più mercati, l’ambito di applicazione di queste leggi sulla protezione dei dati può comportare la gestione della medesima offerta con modalità differenti a seconda della giurisdizione, con clienti sempre più consapevoli ed esigenti per conoscere quali dati vengono raccolti, come sono trattati e per quali finalità. Inoltre, le autorità di supervisione previste dal GDPR (come il Garante per la protezione dei dati personali) nel corso del 2022 hanno emanato provvedimenti sempre più tecnici ed incisivi, a volte in maniera inaspettata, capaci di rendere improvvisamente illegittimi parte dei trattamenti di dati personali effettuati con strumenti tecnologici leader di mercato (es. Google Analytics).

E la privacy è solo l’inizio, infatti nella giornata del 27 dicembre 2022, sulla Gazzetta ufficiale dell’Unione europea, sono stati pubblicati contemporaneamente diverse direttive riguardanti la cyber security. Il Regolamento DORA, che mira a conseguire un elevato livello di resilienza operativa digitale e che stabilisce una serie di obblighi in relazione alla sicurezza dei sistemi informatici e di rete delle entità finanziarie e dei relativi fornitori tecnologici. La Direttiva NIS2, che stabilisce le misure volte a garantire un livello elevato di cibersicurezza nell’Unione, in modo da migliorare il funzionamento del mercato interno e che stabilisce, inter alia, le misure in materia di gestione dei rischi di cibersicurezza e obblighi di segnalazione per i soggetti destinatari La Direttiva CER che comporta obblighi di rafforzamento della resilienza e della capacità di fornire i servizi considerati essenziali per il mantenimento di funzioni vitali della società o delle attività economiche.

Il quadro delineato è sufficiente ad indicare che anche gli uffici legali interni dovranno confrontarsi con novità legislative altamente tecniche:. È, pertanto, fondamentale che si dotino di figure sempre più preparate dal punto di vista informatico perchè possano dialogare, anche sotto l’aspetto tecnico, con i dipartimenti IT e ITSEC per contribuire attivamente alla trasposizione dei dettati normativi in politiche aziendali e processi interni efficienti.

I rischi della supply chain

Anche la supply chain sarà impattata da novità legislative, con conseguenti risvolti decisionali da parte delle aziende, con il rischio che molti fornitori “storici” potrebbero trovarsi ben presto fuori dal mercato nel caso in cui non fossero sufficientemente reattivi.

Nel biennio scorso abbiamo assistito a una crescita delle violazioni di sicurezza in questo ambito. Nel mondo globalizzato, le catene di fornitura stanno diventando sempre più interconnesse e complesse. L’ avanzare della tecnologia e le vulnerabilità di sicurezza possono esporre a rischi i partner ai quali un’azienda è collegata. Lo sanno bene i criminali informatici che stanno sfruttando queste criticità, il 40% delle minacce informatiche sono state rivolte ad attaccare almeno un punto della supply chain dell’obiettivo finale. E la tendenza è ulteriormente in rialzo.

Nel 2023 non sono solo i rischi cibernetici introdotti dalle vulnerabilità informatiche dalle terze parti a dover essere mitigati, i board e C-level in generale dovranno affrontare i rischi dell’ interruzione delle forniture a causa di incidenti informatici. Inoltre, le forniture potranno rallentare, o addirittura fermarsi, anche a causa della carenza globale di semiconduttori, aspetto questo che giocherà sicuramente il suo ruolo nella sicurezza informatica aziendale. Mentre molte aziende hanno bisogno di sempre più potenza di calcolo (server, workstation, hardware, etc..) il prezzo delle apparecchiature continua a salire e non è da escludere che alcune aziende si trovino di fronte al dilemma di coprire le esigenze hardware a discapito delle spese di sicurezza informatica già pianificate.

In conclusione

Il 2022 ha segnato per la maggior parte delle aziende il primo cambio di passo verso una vera cultura della cybesicurezza, basata su persone e investimenti tecnologici. Per alcune, la scelta è stata obbligata a causa del verificarsi di eventi di sicurezza che hanno comportato perdite finanziare e reputazionali; altre, più fortunate, hanno intuito la direzione da prendere prima del verificarsi di tali eventi. Ma la fortuna non può durare in eterno e, come recita il mantra ripetuto dagli studiosi e dai commentatori della materia più quotati, il tema non è “se succede”, ma “quando”.

Le sfide della cybersicurezza aziendale nel 2023 secondo Sironi

Di Matteo Sironi

Le aziende iniziano ad avere consapevolezza dei rischi che corrono e, generalmente, stanno investendo in cybersicurezza a un ritmo impensabile solo un paio di anni fa. Ma il 2023 pone nuove sfide in termini di governance e cyber risk management. L’analisi di Matteo Sironi, executive board member di Humint Consulting

Balcani, prospettive italiane ed europee. L'auspicio di Carteny

Intervista al professore di Storia delle relazioni internazionali alla Sapienza di Roma: “L’Italia porterà allo stesso tavolo gli attori locali e internazionali per garantire uno sviluppo integrato di tutta la regione. Può intervenire come player perché è un facilitatore, sia per lo sviluppo dei programmi europei e internazionali di sviluppo economico e di stabilizzazione, sia per il proprio status di attore storico dell’area”

La violenza nel pallone stadio finale del tribalismo generale

Chi pretende o ritiene di possedere la soluzione in tasca, sta barando. Del resto se tutta la società è afflitta dalla violenza, è illusorio pensare che il mondo del pallone possa rappresentare un’eccezione, un’oasi di pace e convivenza civile. Il commento di Giuseppe De Tomaso

Da che parte starà il Pd? I dubbi di Cazzola

Il futuro prossimo porrà scelte importanti tali da qualificare l’azione di ogni forza politica. Se il Pd non sarà in grado di misurarsi “in avanti” con le prove che lo attendono, incalzando il governo nella direzione giusta, al gruppo dirigente che uscirà dalle primarie e sarà confermato nel Congresso resterà un ultimo disperato tentativo… Il commento di Giuliano Cazzola

La vera eredità di Ratzinger e il futuro della Chiesa. Scrive Giovagnoli

Qual è per il papa e per la Chiesa nel suo insieme, il modo migliore per affrontare la crisi del cristianesimo in Occidente? È legittimo avere opinioni diverse a proposito. Personalmente credo che aiuti la presenza di un papa capace di trasmettere forza e coraggio. E le sue “dimissioni” mostrano che anche Ratzinger la pensava così

Oltre le flagship initiative. Capire quando e come investire in cultura crea cultura

La creazione di investimenti in cultura deve essere condotta tenendo in considerazione che tali investimenti andranno a generare sui conti pubblici un incremento dei costi correnti, e che tali costi correnti potranno trovare un supporto di sostenibilità o nella riduzione di altre spese o dall’incremento dei ricavi potenziali. I risultati di una ricerca scandinava sugli investimenti culturali nell’intervento di Stefano Monti, partner di Monti&Taft

ChatGPT e la sicurezza nell'Intelligenza artificiale. Conversazione con Iezzi (Swascan)

Di Carlo Simonelli

Intelligenza artificiale, cybersicurezza e questione etica. Intervista a tutto tondo di Carlo Simonelli a Pierguido Iezzi, ceo di Swascan

Covid, il liberi tutti cinese preoccupa l’Oms (e l’Europa)

La riapertura ai viaggi cinesi preoccupa l’Oms. Mentre per le economie (legate al turismo) è un potenziale beneficio, i rischi di propagazione globale dell’epidemia Covid che sta esplodendo in Cina sono affrontati dai vari Paesi, compresa l’Ue

Cianuro e ricina. Cosa sappiamo sui due arrestati in Germania  

In manette un iraniano di 32 anni che stava pianificando un attentato “di matrice islamista” e suo fratello, già noto alle autorità. Il precedente di Colonia

Crisi del gas, la fortuna dell'Italia si chiama Tap. L'analisi di Villa

Conversazione con il capo del DataLab dell’Ispi: “Il pericolo di de-industrializzazione per adesso è ridotto. Draghi ha avuto la fortuna di ritrovarsi in mano alcune strutture già esistenti, oltre che applicare l’oculatezza di cercare di tenersi stretti i fornitori. Abbiamo la Tap che fino al 2021 sembrava poco utile a chi la criticava e poi invece ci ha salvato”

×

Iscriviti alla newsletter