Cyber Security: una nuova sfida manageriale per le aziende

Cyber Security

Cos’è la Cyber Security - Cyber Security, un tema di grande attualità - Come un’azienda può gestire la sicurezza informatica

1000
 Luca Boselli

Partner, Head of Information Risk Management

KPMG in Italy

E-mail

La metà dei top manager dichiara che la propria azienda sarebbe impreparata di fronte ad un attacco informatico. È quanto emerge dal recente studio internazionale KPMG dal titolo ‘CEO Outlook Survey’.

Cos’è la Cyber Security

La Cyber Security è il processo che consente la protezione delle informazioni attraverso attività di prevenzione, rilevazione e risposta ad attacchi provenienti dal ‘Cyberspazio’.

Non solo protezione delle informazioni aziendali, ma anche tutto ciò che, attraverso l’utilizzo delle tecnologie ICT, può essere esposto a rischi; ad esempio, la reputazione aziendale legata alla comunicazione tramite i canali dei social network rappresenta un contesto molto sensibile. La Cyber Security è un processo e non una soluzione tecnologica. I framework di Cyber Security, ovvero i modelli che guidano le aziende nella gestione del rischio informativo, sono un insieme di attività, ruoli e responsabilità, approcci e metodologie, e tecnologie, che supportano ogni organizzazione a definire, implementare e migliorare costantemente la strategia di protezione adeguata.


Cyber Security, un tema di grande attualità

La digitalizzazione dei processi e delle attività sempre più pervasiva, anche per il ricorso a canali e approcci innovativi offerti dalla tecnologia (mobile, cloud, ecc.) e la creazione di patrimoni informativi sempre più ampi da cui estrarre valore (big data e data analytics) stanno contribuendo alla rilevanza delle tematiche di Cyber Security. L’attualità riporta l’aumento delle minacce di sicurezza in termini sia numerici, sia di differenziazione delle tipologie di ‘attaccanti’ e delle modalità di attacco. Se fino alla metà del precedente decennio gli attacchi informatici erano principalmente imputabili ad individui ostili operanti in autonomia (o limitatamente organizzati) e, nella maggior parte dei casi, con competenze limitate, nell’ultimo decennio è stato rilevato un numero sempre più elevato di attacchi provenienti da vere e proprie organizzazioni strutturate, di natura criminale o di natura governativa ostile, in grado di fare leva su grandi risorse economiche e tecnologiche. Rimanendo nei confini nazionali, anche il Governo Renzi sta spingendo molto per sensibilizzare la Pubblica Amministrazione a dotarsi di infrastrutture e processi per gestire la sicurezza IT. I dati del Rapporto Clusit 2015, realizzato dall’Associazione italiana per la sicurezza informatica, confermano questo trend ed evidenziano una crescita anche in Italia degli attacchi. Di questi ben il 93% è riconducibile a fenomeni di cyber crime con apparenti finalità criminali. Anche le modalità di attuazione degli attacchi si sono evolute, passando da attacchi mirati ad ottenere dei ritorni immediati ad attacchi più ampi finalizzati ad ottenere risultati di medio-lungo periodo che coinvolgono anche il governo delle nuove tecnologie ICT (ad esempio quello dei social media o dei servizi in cloud, così come il controllo degli oggetti connessi ad internet, Internet of Things).


Come un’azienda può gestire la sicurezza informatica

La percezione comune è che le aziende non debbano chiedersi se saranno o meno obiettivo di un attacco informatico, ma quando e attraverso quali modalità. La domanda più corretta che ogni azienda dovrebbe porsi è come rispondere a questo tipo di eventi.

Pertanto assume grande rilievo la capacità di comprendere e valutare tutti i possibili impatti legati ad un attacco, in modo da adottare efficaci soluzioni di contrasto e di ripristino della normale operatività.

In un contesto in cui la tecnologia pervade sempre più i modelli di business ed i relativi processi è chiaro che la Cyber Security non è un tema che interessa il solo mondo IT perché impatta sulle strategie aziendali ed anche sulle scelte operative del management. Per questo deve entrare nell’agenda dei board per la definizione di un framework chiaro di Cyber Security (processi, organizzazione, tecnologie) e l’assegnazione di adeguate risorse (budget, persone, ecc.). Fare previsioni non è semplice, ma si può essere ragionevolmente certi che prima o poi ogni azienda dovrà confrontarsi con il tema della Cyber Security. Farsi cogliere impreparati avrebbe un impatto troppo pesante sul business delle aziende. Occorre attrezzarsi ‘qui e ora’.

Luca Boselli
Partner, KPMG Advisory

© 2024 KPMG S.p.A., KPMG Advisory S.p.A., KPMG Fides Servizi di Amministrazione S.p.A. e KPMG Audit S.p.A., società per azioni di diritto italiano, KPMG Business Services S.r.l., società a responsabilità limitata di diritto italiano, e Studio Associato - Consulenza legale e tributaria, associazione professionale di diritto italiano, fanno parte del network KPMG di entità indipendenti affiliate a KPMG International Limited, società di diritto inglese. Tutti i diritti riservati.

Per maggiori dettagli sulla struttura organizzativa di KPMG a livello globale, visita il sito kpmg.com/governance.

Contattaci