Gestione del rischio informatico: la consapevolezza da sola non basta
Le aziende svizzere non integrano abbastanza i rischi informatici nella loro gestione dei rischi. Questo è il risultato di uno studio congiunto della Scuola universitaria professionale di Lucerna, della Mobiliar e di economiesuisse. Gli organi di gestione sono consapevoli dei pericoli, eppure i rischi informatici sono ancora troppo spesso trattati come un problema puramente informatico.
Gli organi di controllo sono sempre più chiamati ad adempiere ai loro doveri legali di controllo e supervisione anche nell'affrontare i rischi informatici, secondo i risultati di un nuovo studio sulla gestione dei rischi informatici nelle aziende. Oltre all'obbligo legale, ci sono anche buoni motivi dal punto di vista economico per investire nella gestione dei rischi informatici, secondo lo studio condotto dalla Scuola universitaria professionale di Lucerna in collaborazione con l'assicuratore Mobiliare e l'organizzazione mantello delle imprese economiesuisse. Dopo tutto, gli attacchi informatici potrebbero causare danni considerevoli alle organizzazioni, che nel caso peggiore potrebbero significare multe elevate, una grave perdita di reputazione, il ritiro delle licenze operative o il fallimento.
Una nave senza capitano: mancanza di dichiarazioni sulla preparazione al rischio informatico
Secondo lo studio, molte aziende sembrano mancare fondamentalmente di una base centrale per la gestione dei rischi informatici: Nessuna delle organizzazioni intervistate ha definito esplicitamente la misura in cui i rischi informatici devono essere consapevolmente assunti per raggiungere gli obiettivi aziendali. "Da una prospettiva di gestione del rischio, questo è paragonabile a una nave che non ha un capitano", dice Stefan Hunzikerautore dello studio e responsabile del centro di competenza Risk & Compliance Management presso l'Università di Scienze Applicate e Arti di Lucerna. A quanto pare, sviluppare le cosiddette dichiarazioni di propensione al rischio è molto difficile nella pratica.
Lo studio HSLU mostra inoltre che c'è un divario tra il livello dell'infrastruttura tecnica IT e il livello organizzativo quando si affrontano i rischi informatici. "I rischi informatici sono ancora intesi troppo fortemente come una questione puramente informatica. Di conseguenza, sono gestiti in modo decentralizzato e operativo e non abbastanza integrati nella gestione del rischio a livello aziendale", spiega Hunziker. Qui, si nota una discrepanza tra la rilevanza del rischio (consapevolezza) e la "governance del rischio". "Questa circostanza impedisce un confronto coerente - e quindi anche una significativa prioritizzazione - dei rischi informatici e di altre categorie di rischio a livello di top management", dice l'esperto. Come primo passo nella giusta direzione, raccomanda di promuovere la cooperazione tra il Chief Information Security Officer (CISO) e il Risk Manager. "Perché è soprattutto qui che si costruisce il ponte tra la sicurezza informatica tecnica e la gestione dei rischi aziendali", dice Hunziker.
La questione del rischio "umano": sono necessari ulteriori investimenti
Spesso, le misure più semplici e ugualmente efficaci per affrontare i rischi informatici sono ancora trascurate. Stefan Hunziker: "La definizione dei rischi informatici può quindi essere anche un po' fuorviante, poiché molte cause di rischio non si trovano nel cyber spazio, ma nella cattiva condotta umana". È utile fare un'analogia con la medicina, dove è noto da tempo che un comportamento umano corretto impedisce la trasmissione delle malattie. La disinfezione regolare, il lavaggio disciplinato delle mani e il mantenimento della distanza sono comportamenti consolidati - almeno dallo scoppio della pandemia di Corona. Il presente studio conferma che il "fattore umano", ovvero il comportamento umano nell'ambito della sicurezza informatica, è ancora troppo poco considerato rispetto alle misure tecniche. "Il fattore umano è solo un elemento nel processo di miglioramento continuo della sicurezza informatica, ma è molto importante", dice Hunziker. Il comportamento umano nell'affrontare la sicurezza informatica dovrebbe essere addestrato in modo tale che diventi naturale e "normale" come starnutire nella piega del braccio.
Gestione del rischio informatico e migrazione cloud
Molti rischi informatici sono causati dall'uso del cloud. È quindi ancora più importante che le organizzazioni pianifichino bene il loro passaggio al cloud e lo accompagnino con misure adeguate. "La creazione di una strategia chiara è all'inizio di una migrazione ben pianificata verso il cloud", dice Armand Portmann, autore dello studio e capo di Information & Cyber Security | Privacy presso il Dipartimento di Informatica dell'Università di Scienze Applicate e Arti di Lucerna. Fortunatamente, la maggior parte delle organizzazioni intervistate ha un tale documento che descrive le condizioni quadro per l'introduzione e l'uso dei servizi cloud. Questo permette di concludere che il tema del cloud computing ora gode di attenzione anche negli organismi di gestione. "C'è la consapevolezza che l'uso dei servizi cloud è associato a dei rischi", dice Armand Portmann.
Quando si tratta di nominare i rischi che sorgono quando si utilizzano i servizi cloud, tuttavia, le organizzazioni intervistate non sono a corto di risposte. "I primi tre rischi sono la perdita di riservatezza o la violazione della protezione dei dati, la dipendenza dal fornitore di servizi cloud e le questioni di responsabilità", spiega Fernand Dubler, autore dello studio e ricercatore associato all'Università di Scienze Applicate e Arti di Lucerna. L'argomento è complesso. Quindi, dice, non è sorprendente che le misure necessarie per mitigare questi rischi non siano semplici. Dubler aggiunge: "Queste misure sono estremamente diverse e devono essere sviluppate individualmente dalla situazione concreta di outsourcing. Questo pone spesso delle sfide molto grandi per le organizzazioni interessate".
Fonte e ulteriori informazioni: Università di Lucerna
