Investire in cybersecurity? Conviene
L’Italia è agli ultimi posti tra i paesi del G7, eppure le probabilità di attacco sono in costante aumento. Necessaria una corretta valutazione del rischio
Getty ImagesLa digitalizzazione, la pandemia, lo smart working e l’evoluzione del contesto internazionale stanno portando a una continua espansione della superficie di attacco e delle minacce cyber, il rischio cyber è uno dei rischi globali che è peggiorato maggiormente negli ultimi anni ed è nella top 5 dei rischi a livello Europeo, come emerge dal Global Risks Report 2022, pubblicato dal World Economic Forum in collaborazione con Marsh McLennan.
In Italia, secondo i dati Clusit, nei primi sei mesi del 2021 c’è stato un incremento a doppia cifra degli attacchi, +24% rispetto al 2020 (da notare che tali statistiche potrebbero essere molto sottostimate in quanto catturano solo gli attacchi di pubblico dominio). Nel 2022 si prevede un ulteriore inasprimento, anche alla luce della situazione recente di conflitto a livello internazionale, dove l’escalation cyber che coinvolge Russia e Ucraina richiede un’allerta difensiva anche in Italia, come raccomandato dal CSIRT.
Necessari più investimenti
Non c’è dubbio, pertanto, che occorre investire nella protezione dai rischi cyber. In Italia gli investimenti in cybersecurity nel 2021 hanno raggiunto 1,5 miliardi di euro, +13% rispetto al 2020, il 60% delle grandi imprese italiane ha aumentato il budget per la sicurezza informatica, secondo le stime degli Osservatori Cybersecurity del Politecnico di Milano. Tuttavia, occorre confrontare tale dato in relazione al PIL, l’Italia è agli ultimi posti tra i paesi del G7, anche se il PNRR potrebbe fornire un’accelerazione. Siamo comunque lontani dai livelli di spesa delle big tech, da una ricerca di CBInsights emerge che le società MAGMA (Meta-ex Facebook, Amazon, Google, Microsoft e Apple) nel 2021 hanno quadruplicato gli investimenti in cybersecurity rispetto all’anno precedente.
Se da un lato è scontato che si debba investire sulla cybersicurezza, d’altro canto per le aziende si pone il quesito su quale sia il livello di investimenti necessario. Per avere un riferimento, da uno studio Oliver Wyman a livello globale pre-pandemia la spesa delle aziende in cybersecurity era circa il 10% della spesa IT. Ma tale livello è sufficiente? E dove, in quali misure di protezione, conviene investire?
Per rispondere a tali domande, è necessario capire innanzitutto i potenziali scenari di attacco che l’azienda può subire, non scenari generici di settore, ma specifici, disegnati in base agli asset/sistemi, dati gestiti, terze parti coinvolte, tipo di impatto (e.g. perdita di dati o indisponibilità sistemi), anche in base alle priorità identificate dalla cyber threat intelligence, dai vulnerability assessment, rilievi dell’audit, eccetera. Un’analisi a livello di ciascuno scenario quantifica l’esposizione al rischio cyber in euro, il “value at risk”, andando a valutare oltre alle perdite dirette anche eventuali costi di notifica in caso di data breach, multe regolamentari e spese legali, ma anche perdite reputazionali. In questo modo è possibile capire quanto occorre investire nella mitigazione del rischio cyber, dove dovrebbero concentrarsi gli investimenti o dove ha senso, ad esempio, trasferire il rischio tramite l’assicurazione (determinando la strategia di copertura assicurativa cyber e l’entità dei premi) o supportare analisi di ROI sugli investimenti cyber.
Confronto aperto con il management
Per esercitare la sua funzione, il cda deve avere un sano confronto con il management, ad esempio, al Chief Financial Officer e al Chief Risk Officer è ragionevole richiedere la definizione del cyber risk appetite, la quantificazione dell’esposizione al rischio cyber e quindi il profilo di investimento sottostante per la sua gestione, mentre al CISO, quali sono le minacce gli e scenari più impattanti e la copertura degli investimenti e del programma di cybersecurity. L’obiettivo finale è quello di tastare il presidio del management sul rischio cyber e dei relativi investimenti rispetto agli obiettivi di business.