Anche se per molte imprese la sicurezza informatica è una priorità, a uno sguardo più attento si scopre che molti responsabili aziendali non sono sufficientemente preparati per combattere i crimini informatici. E’ quanto emerge dallo studio “Securing the C-Suite, Cybersecurity Perspectives from the Boardroom and C-Suite” recentemente condotto dall’Institute for Business Value di IBM. L’indagine ha coinvolto più di 700 top manager, provenienti da 28 Paesi e 18 settori industriali; dallo studio sono stati esclusi i CISO (Chief Information Security Officer), per ottenere un quadro reale di ciò che tutti gli altri manager appartenenti alla C-Suite pensano relativamente alla sicurezza informatica.

Secondo il 68 per cento dei manager intervistati la sicurezza informatica è una delle principali aree critiche e il 75 per cento si dichiara convinto della necessità di un piano complessivo per la sicurezza. Nonostante ciò, dall’indagine emerge che il 70 per cento dei manager pensa che la minaccia più seria per la propria azienda sia costituita da singoli individui che perseguono finalità illecite, mentre nella realtà l’80 per cento degli attacchi informatici è guidato da organizzazioni criminali estremamente complesse, nelle quali si condividono in modo diffuso dati, strumenti e competenze.

Il mondo della criminalità informatica è in rapida evoluzione, ma molti top manager non dimostrano una comprensione delle minacce al passo con i tempi”, ha dichiarato Caleb Barlow, Vice Presidente IBM Security. “Mentre i CISO e i Consigli di Amministrazione possono contribuire a fornire adeguate linee guida e strumenti, i CxO delle funzioni marketing, risorse umane e finanza, cioè delle aree a più elevata concentrazione di grandi volumi di dati sensibili, dovrebbero essere coinvolti più attivamente nelle decisioni relative alla sicurezza, insieme al CISO”.

Oltre il 50 per cento dei CEO concorda sulla necessità di collaborare per combattere i crimini informatici. Per contro, solo un terzo di loro ha espresso la disponibilità a condividere esternamente le informazioni sugli incidenti di sicurezza informatica avvenuti all’interno della propria azienda, facendo emergere una resistenza diffusa verso una collaborazione di settore coordinata. I CEO hanno anche sottolineato che si aspettano di più da vari soggetti esterni: maggiore sorveglianza da parte degli enti governativi, maggiore collaborazione all’interno del settore e condivisione delle informazioni a livello transnazionale, persino da parte dei concorrenti.

Circa il 60 per cento dei CFO, CHRO e CMO riconosce di non essere attivamente coinvolto (e di conseguenza nemmeno i rispettivi reparti) nelle strategie di protezione informatica e nella loro attuazione. In effetti, tali funzioni rappresentano obiettivi primari per i criminali informatici, poiché gestiscono dati sensibili relativi a clienti e dipendenti, nonché le informazioni finanziarie aziendali più importanti e l’accesso ai dati bancari.

Tra i suggerimenti dati alle aziende per affrontare in modo adeguato il tema della sicurezza informatica, emerge l’incoraggiamento alla collaborazione interna all’azienda: formare il personale, stabilire un programma di gestione della sicurezza, responsabilizzare il CISO, portare e discutere regolarmente la sicurezza informatica nelle riunioni dei vertici aziendali e includerli nello sviluppo di un piano di risposta agli incidenti.

Altre indicazioni sono contenute nello studio “Securing the C-Suite”, disponibile gratuitamente sul sito di IBM.