Per preparare le aziende globali a un’era di connettività onnicomprensiva, i manager hanno bisogno non solo delle più avanzate soluzioni di sicurezza informatica, ma soprattutto di adottare un nuovo approccio più adattivo, completo e collaborativo al cyber risk.
In un recente report a firma di Thomas Poppensieker e Rolf Riemenschnitter, la società internazionale di consulenza McKinsey analizza le strategie di alcuni dei principali team di cyber sicurezza al mondo presso aziende con attività a livello globale, evidenziandone lati positivi e punti di debolezza.
Il cambio di postura evocato dallo studio non è solo teorico e culturale, ma si sostanzia di azioni concrete. Tra queste, si legge nel documento, c’è innanzitutto il fatto che il cyber risk deve essere trattato, appunto, come un problema di gestione del rischio, non un problema IT, come accade nella maggior parte delle organizzazioni. Le aziende devono poi affrontare il cyber risk in un contesto aziendale, perché i tecnici non possono risolvere un problema senza comprendere i requisiti commerciali e organizzativi sottostanti. Le compagnie devono poi cercare e mitigare il cyber risk su più livelli – preferibilmente sfruttando strumenti automatizzati che possono definire le priorità da affrontare -, perché dati, infrastrutture, applicazioni e persone sono esposti a diversi tipi e gradi di minacce.
Subire un attacco, rileva ancora McKinsey, è solo questione di tempo: per questo bisogna aggiornare di frequente practice e soluzioni, mettendo a punto le strutture e i processi di business continuity e di gestione delle crisi. Infine, si sottolinea, il cybe risk richiede una governance completa e collaborativa, che si lasci definitivamente alle spalle la tradizionale distinzione tra sicurezza fisica e sicurezza delle informazioni che persiste ancora in diverse imprese.
Le aziende che aderiscono a questi principi, rimarcano i due studiosi, tendono ad essere molto più resilienti alla maggior parte degli attacchi rispetto ai loro competitor. Il nuovo approccio, prosegue l’analisi, fa anche un uso migliore delle risorse e dei fondi per la sicurezza informatica. Il semplice riorientamento degli investimenti in attività veramente cruciali può far risparmiare fino al 20% dei costi di cyber security.
“Nella nostra esperienza – sostengono Poppensieker e Riemenschnitter – fino al 50% dei sistemi di un’azienda non sono critici dal punto di vista della sicurezza informatica”. A ciò va aggiunto che “il costo di implementazione di una determinata soluzione di sicurezza può variare di cinque volte rispetto a società comparabili, il che suggerisce che molte aziende stanno perdendo notevoli rendimenti”. Altri vantaggi includono meno interruzioni delle operazioni, che spesso le iniziative di cyber security comportano. E, coinvolgendo gli imprenditori fin dall’inizio, le compagnie possono accelerare significativamente la progettazione e l’implementazione della loro architettura di cyber security.