I decisori di business continuano a fare fatica a comprendere perché la cybersecurity non è un costo ma un importante abilitatore di business.
Autore: Redazione SecurityOpenLab
Far capire ai responsabili aziendali che la cybersecurity è un abilitatore di business è un passaggio necessario perché le aziende raggiungano un livello adeguato di resilienza, ma tuttora difficile da raggiungere, nonostante la maggiore consapevolezza dei rischi informatici. Il dato emerge dallo studio “Risk & Reward: Reconciling the conflicted views of business leaders on the value of cybersecurity” commissionato da Trend Micro a Sapio Research.
Dei 2.718 decisori interpellati in 26 Paesi, Italia inclusa, il 64% ha dichiarato di voler aumentare gli investimenti nella cybersecurity già da quest’anno. Tuttavia, la metà dei responsabili aziendali (51%) afferma che la sicurezza informatica è un costo necessario ma non contribuisce agli utili, mentre il 48% sostiene che il suo valore si limita alla prevenzione di attacchi/minacce. Un quinto (38%), vede addirittura la sicurezza come una barriera anziché come un abilitatore di business.
Sono segnali di una forte mancanza di cultura del rischio, che porta a una visione miope della security e a una confusione totale attorno al ruolo della sicurezza informatica, della resilienza e di come ottenerla. Le contraddizioni in termini sono moltissime, se si pensa che dopo quanto detto, l'81% del campione teme che la mancanza di un’adeguata infrastruttura di sicurezza informatica possa influire sulla capacità di fare business e il 19% ammette che questo è già successo. Che equivale a riconoscere alla security un contributo importante sugli utili, e un valore che va ben oltre la prevenzione degli attacchi.
Non solo. Il 71% del campione ha ammesso di aver ricevuto domande sulla propria postura di sicurezza in fase di negoziazione con potenziali clienti e fornitori. Il 78% ha affermato che la richiesta di queste informazioni è sempre più frequente. Il che basta e avanza per promuovere la sicurezza come abilitatore di business. Resta quindi un mistero perché, alla luce di queste informazioni, solo il 57% dei responsabili aziendali percepisca una connessione forte o molto forte tra cybersecurity e acquisizione/soddisfazione del cliente.
Le perplessità riguardano anche lo skill gap e la necessità di colmarlo mediante l'acquisizione di talenti: solo due quinti del campione comprende la forte connessione tra sicurezza informatica e permanenza dei dipendenti (42%) o attrazione dei talenti (43%). E dire che non è difficile comprendere i dati sull'esperienza dei dipendenti: l’83% accusa le attuali policy di security di compromettere l’abilità dei dipendenti di svolgere le attività. Il 43% afferma che le pratiche correnti di cybersecurity frenano la possibilità dei dipendenti di lavorare da ogni luogo, e il 54% recepisce le regole aziendali di security come limitanti.
In sostanza, una sbagliata strategia cyber influisce chiaramente sulla soddisfazione e la produttività dei dipendenti, sulle trattative con potenziali fornitori e clienti, e sulla capacità di contrastare attacchi cyber. è abbastanza per comprendere che è giunto il momento di integrare la security nelle logiche del business aziendale e riconoscerne un valore che va ben oltre la capacità di limitare i danni di un attacco cyber.