Cyber security, un problema ancora sottovalutato
Secondo un’indagine condotta da BDO per l’edizione 2017 del Global Risk Landscape, il report annuale della società di revisione contabile e consulenza alle imprese che indaga i fattori di rischio del business internazionale, le principali sfide aziendali saranno: l’innovazione tecnologica, il rischio reputazionale e i cyber reati. Il 72% dei top manager delle aziende di tutto il mondo intervistati da BDO pensa che viviamo in un mondo più rischioso rispetto al passato.
Ciò che stupisce è che, tra i primi tre fattori di rischio citati, non compaia quello legato alla sicurezza, surclassato dalle preoccupazioni sulla non conformità rispetto alle normative (35%), dalla crescente competizione nel mercato (30%) e dalla crisi economica (29%). Se interrogati rispetto all’impreparazione delle aziende rispetto ai cambiamenti in atto nel business globale, solo il 21% dei leader aziendali europei indicano il cyber rischio come fattore che coglierà di sorpresa le loro imprese nei prossimi 10 anni.
Quanto delineato dal Report BDO rende evidente il fatto che lo scenario globale attuale sia inadeguato per affrontare gli attacchi informatici mondiali a cui stiamo assistendo. In più, le stime di Ponemon e IBM, che parlano di 4 milioni di dollari di perdite economiche medie causate ad un’azienda da una violazione dei sistemi nel corso del 2016, con un incremento degli attacchi ransomware del 6.000% l’anno scorso, è chiaro che il problema del cyber crime sia sottovalutato.
Secondo BDO sono otto gli step che ogni azienda dovrebbe intraprendere per potersi definire resiliente agli attacchi informatici.
Il primo è quello di aggiornare costantemente i sistemi informatici di sicurezza con le ultime versioni software disponibili, per non essere vulnerabili. Il secondo passo è installare dei sistemi di monitoraggio che attivino immediatamente l’allarme in caso di violazione. E’ necessario poi conoscere quali dati sono contenuti nei propri sistemi e come vengono difesi. Il quarto passo è proteggere i dati con adeguati sistemi di controllo. Ulteriore step è quello di insegnare a tutti i dipendenti come riconoscere un attacco hacker in corso e come assumere comportamenti sicuri durante il lavoro quotidiano. Il passo successivo è quello di controllare la catena di approvvigionamento e assicurarsi che anche le terze parti siano adeguatamente preparate nei confronti del cyber rischio. Infine, occorre saper discutere del rischio cibernetico ai vertici aziendali, così come si discute di rischi economici o di altra natura.
La prima cosa da fare è accorgersi che l’attacco è in corso. Poi, occorre spegnere le parti del sistema attaccate, per evitare la propagazione del contagio. A livello di reputazione e comunicazione, inoltre, è necessario che ogni azienda prepari in anticipo una dichiarazione standard ufficiale da poter inviare tempestivamente alla stampa.
Con l’entrata in vigore del GDPR europeo (General Data Protection Regulation – regolamento UE 2016/679), adottato il 27 aprile 2016 e che gli stati membri devono ratificare entro il maggio 2018, diventa inoltre obbligatorio avvisare l’autorità competente di aver accertato una fuga di dati entro e non oltre 72 ore dalla scoperta.
Anche la stipula di un prodotto assicurativo specifico può rivelarsi utile, ma solo per quei casi di forte impatto e bassa probabilità di accadimento.