Nonostante l’esplosione del crimine informatico le aziende non sono ancora riuscite ad adeguarsi nella cyber security: investimenti in calo e scarsa organizzazione interna
Le aziende sono ancora in ritardo nella lotta contro il cyber crime che, complice la pandemia e una maggiore digitalizzazione, è aumentato in modo considerevole nell’ultimo anno. Stando ai numeri del Rapporto Clusit 2021, gli attacchi gravi registrati nel 2020 a livello globale sono stati 1.871. Un dato che tiene conto soltanto dei data breach di dominio pubblico ed esclude le violazioni che non sono state denunciate. I criminali informatici hanno colpito su larga scala, in particolare tramite phishing e ransomware, sfruttando a volte la paura del virus come esca per aggirare gli utenti.
I settori più colpiti dalla pandemia sono spesso finiti nel mirino degli hacker che, sfruttandone le vulnerabilità, hanno trafugato dati e informazioni sensibili con lo scopo di ottenere un riscatto o di rivenderle nel Dark Web. Allo stesso modo, aziende e privati non si sono sufficientemente adeguati al cambiamento, nonostante la consapevolezza del pericolo cyber sia leggermente aumentata. Da un lato, infatti, le aziende hanno dovuto rivedere il budget destinato alla sicurezza informatica. Dall’altro, l’organizzazione interna è rimasta ancora carente e le figure chiave in alcune aziende mancano totalmente o non sono adeguatamente ricoperte.
Secondo un’indagine del Politecnico di Milano, il giro d’affari legato alla cyber security è cresciuto del 4% nel 2020. Tuttavia, l’aumento è stato debole rispetto a quello avvenuto nel 2019, quando si attestava intorno al +11%. Il 19% delle aziende italiane infatti ha ridotto il proprio budget rispetto all’anno precedente. Viceversa, il numero di aziende che ha aumentato gli investimenti nella sicurezza informatica è sceso dal 51% al 40%.
All’appello manca anche un’adeguata consapevolezza in materia. Attualmente, le aziende italiane che attribuiscono la responsabilità della cyber security ad un chief information security officer sono soltanto il 41%. Nel 25% dei casi invece questo ruolo è in capo al chief information officer, nel 13% a un chief security officer o a un security manager, nel 19% a un’altra figura aziendale e per il 2% dei casi non esiste una figura specifica. Scarso anche il livello di coinvolgimento del consiglio di amministrazione sui temi della sicurezza informatica. Nel 38% dei casi non è prevista nessuna comunicazione al CDA.