Perdita di fatturato, riduzione del valore di mercato dell’azienda, danni reputazionali e multe per inadempienza delle normative: sono gli effetti collaterali degli incidenti cyber più tenuti dai dirigenti di organizzazioni italiane con almeno 1.000 dipendenti e 500 milioni di dollari di fatturato annuo, interpellati da Deloitte in un sondaggio sul tema della cybersecurity.

I risultati sono inclusi nel report di Deloitte Future of Cyber: una visione cyber-first per la sicurezza e la creazione di valore – Il punto di vista delle aziende italiane che sfocia in importanti decisioni sul tema cyber: due terzi degli intervistati prevedono di aumentare i propri investimenti in cybersecurity, di pari passo con l’implementazione della trasformazione digitale programmata. Ne segue che nei prossimi tre anni le soluzioni tecnologiche considerate prioritarie saranno il Cloud Computing (50%), l’Intelligenza Artificiale (38%), l’IoT (38%) e la Data Analytics (36%).

La presenza di una strategia di cybersecurity contribuisce a generare valore per le aziende, soprattutto in termini di brand reputation (92%), fiducia dei clienti (92%), resilienza (82%) e agilità (80%). Ultimo ma non meno importante, circa due dirigenti su tre credono che la formazione in ambito cyber sia la chiave per coltivare i talenti oggi scarsamente disponibili.

Cybersecurity e CdA in Italia

Il fato forse più importante è quello relativo ai CdA. Più volte in passato gli esperti, i CISO e i team di security hanno denunciato uno scollamento fra la percezione e l’importanza della sicurezza informatica in azienda da parte dei tecnici e della classe manageriale. Il vento sembra essere camiato, dato che in occasione delle interviste di Deloitte nove dirigenti italiani intervistati su 10 hanno dichiarato che le questioni legate alla cybersecurity sono regolarmente all’ordine del giorno del loro CdA, con cadenza settimanale (36%), mensile (30%) o trimestrale (24%).

I CdA delle aziende desiderano essere sempre più coinvolti sul tema tanto che, come emerge nel report, in 3 casi su 4 il Board riceve aggiornamenti regolari in merito allo stato dei programmi di cybersecurity. Questo approccio consente all’organo direttivo di poter definire efficacemente le strategie e investimenti futuri, integrando al meglio il Risk Management nei processi aziendali. Non è un caso che addirittura 8 aziende su 10 stiano rivedendo la composizione del loro CdA per garantire all’interno dell’assemblea la presenza di professionalità con solide conoscenze tecnico-specialistiche in ambito cyber e con forti capacità di interazione nelle discussioni consiliari in grado di comprendere lo scenario attuale e futuro delle minacce cyber e le loro ricadute sul business.

Prima di festeggiare è tuttavia inquadrare la questione nel modo corretto: come suggerito sopra, il target delle interviste erano le entreprise, che in Italia costituiscono una parte minoritaria delle industrie attive. La stragrande maggioranza del tessuto produttivo italiano chiama in causa imprese medie e piccole, che hanno budget risicati e in cui quasi la metà dei CdA non ha solide relazioni con i CISO.

Le conseguenze che spaventano

Queste informazioni lasciano dedurre che chi ha risposto ha provato a proprie spese l’impatto di un attacco cyber. Circoscrivendo il tema ai manager italiani, risulta che nel Belpaese il 98% delle aziende ha sperimentato almeno una violazione informatica nell’ultimo anno, con danni di entità grave o estremamente grave in circa due casi su tre. Il 40% dei rispondenti riferisce come conseguenza delle violazioni informatiche la perdita di fatturato, il 36% la riduzione del valore di mercato dell’azienda.

Tuttavia, l’impatto maggiore è quello legato alle multe e sanzioni per inadempienza delle procedure o per le violazioni dei regolamenti sulla cybersecurity, come riportato dal 52% del campione. Il 46% teme invece il crollo della fiducia da parte della clientela, il 44% le ripercussioni negative sull’immagine dell’azienda e un altro 46% è preoccupato per il rischio tecnologico, ovvero la possibilità di minore fiducia nella “tech integrity” dell’azienda. Infine, un 42% segnala le conseguenze strategiche ed operative, come il rischio di minori budget a supporto delle iniziative strategiche o le possibili interruzioni delle operation.

I benefici della security… oltre alla security

Un altro dato interessante che emerge dalle interviste di Deloitte riguarda gli effetti collaterali p9ositivi degli investimenti in cybersecurity e di un approccio al business basato sulla vision “cyber-first”. Il 78% degli intervistati reputa che un’adeguata strategia di cybersecurity supporti le aziende nel generare valore in termini di crescita dei ricavi. Il 92% gli riconosce il merito di un incremento della brand reputation, e una percentuale analoga di una maggiore fiducia da parte dei clienti.

Ancora, l’82% reputa che una filosofia cyber-first porti a un modello di business resiliente, che per il 54% dei manager permette finanche di anticipare l’identificazione dei rischi, di prendere decisioni in modo rapido e agile (48%) e di adattarsi prontamente all’evoluzione del contesto competitivo (46%).