Deloitte: il 98% delle grandi aziende italiane ha subito attacchi informatici

In Italia il 98% delle grandi aziende ha sperimentato almeno un attacco informatico nell’ultimo anno, con danni di entità grave o estremamente grave in circa due casi su tre. È quanto emerge dal report di Deloitte Future of Cyber: una visione cyber-first per la sicurezza e la creazione di valore – Il punto di vista delle aziende italiane. Il report presenta i risultati emersi dalle interviste a un campione di dirigenti italiani, condotte nell’ambito di uno studio globale di Deloitte, appartenenti a organizzazioni con almeno 1.000 dipendenti e 500 milioni di dollari di fatturato annuo.

Le conseguenze degli attacchi informatici per le aziende

Secondo quanto emerge dal report di Deloitte, le conseguenze delle violazioni informatiche non si limitano solamente alla perdita di fatturato o alla riduzione del valore di mercato dell’azienda, come sostengono rispettivamente il 40% e il 36% dei dirigenti italiani intervistati, ma possono incidere sulle organizzazioni anche dal punto di vista normativo, comportando multe e sanzioni per inadempienza rispetto alle procedure in essere o per le violazioni dei regolamenti sulla cybersecurity, come riportato dal 52% degli intervistati.

Grave anche il rischio reputazionale, in termini di ripercussioni negative sull’immagine dell’azienda, secondo il 44%, con il possibile crollo della fiducia da parte della clientela paventato dal 46%. Una medesima percentuale (46%) sottolinea il rischio tecnologico, ovvero la possibilità di minore fiducia nella tech integrity dell’azienda. Infine, un 42% segnala le conseguenze strategiche e operative, come il rischio di minori budget a supporto delle iniziative strategiche o le possibili interruzioni delle operation.

Gli investimenti in cybersecurity delle aziende italiane

I dati che emergono dallo studio condotto da Deloitte mostrano come la cybersecurity stia progressivamente assumendo un ruolo fondamentale all’interno delle aziende, garantendo sempre più il raggiungimento degli obiettivi di business e la creazione di valore per i propri stakeholder.

Tutto questo si riflette anche sulle strategie d’investimento delle aziende stesse: due terzi del campione intervistato da Deloitte in Italia prevede di investire di più in cybersecurity, segnalando un trend più marcato nel nostro Paese rispetto alla dinamica rilevata a livello globale (55%).

Tali investimenti sono necessari anche per implementare con successo le iniziative di trasformazione digitale: nei prossimi tre anni, infatti, le soluzioni tecnologiche considerate prioritarie saranno quelle di Cloud Computing, come dichiara più di un’azienda su due, e a seguire quelle di Intelligenza Artificiale (38%), IoT (38%) e Data Analytics (36%).

Cresce l’importanza della cybersecurity nei CdA delle aziende italiane

Inoltre, nove dirigenti italiani intervistati su 10 hanno dichiarato che le questioni legate alla cybersecurity sono regolarmente all’ordine del giorno del loro CdA, con cadenza settimanale (36%), mensile (30%) o trimestrale (24%).

I Consigli di amministrazione delle aziende desiderano infatti essere sempre più coinvolti sul tema tanto che, come emerge nel report, in tre casi su quattro il Board riceve aggiornamenti regolari in merito allo stato dei programmi di cybersecurity.

Questo approccio consente all’organo direttivo di poter definire efficacemente le strategie e investimenti futuri, integrando al meglio il Risk Management nei processi aziendali. Non è un caso che addirittura otto aziende su dieci stiano rivedendo la composizione del loro CdA per garantire all’interno dell’assemblea la presenza di professionalità con solide conoscenze tecnico-specialistiche in ambito cyber e con forti capacità di interazione nelle discussioni consiliari in grado di comprendere lo scenario attuale e futuro delle minacce cyber e le loro ricadute sul business.

I vantaggi di una strategia “cyber-first”

Un’adeguata strategia di cybersecurity supporta le aziende nel generare valore, non solo in termini di crescita dei ricavi, come indicato dal 78% dei rispondenti, ma anche e soprattutto di brand reputation (92%), fiducia dei clienti (92%) e modello di business resiliente (82%) e agile (80%).

Sfruttare appieno tale potenziale, rendendo la cybersecurity un vero e proprio fattore abilitante per il raggiungimento degli obiettivi aziendali, è possibile solo se questa viene integrata nella più ampia strategia di business.

Secondo il 62% dei dirigenti italiani coinvolti nell’indagine, l‘integrazione della cybersecurity all’interno delle strategie aziendali migliora l’efficienza nella gestione delle priorità di business sotto il profilo del risk management (94%), dal punto di vista della creazione di digital trust (92%), ma anche ai fini della trasformazione digitale (88%), poiché permette alle aziende di intraprendere percorsi di digitalizzazione con una maggiore sicurezza.

Al di là dell’impatto sulle priorità di business, l’adozione di un approccio strategico e integrato alla cybersecurity, secondo gli intervistati, affina la capacità delle organizzazioni di anticipare l’identificazione dei rischi (54%), di prendere decisioni in modo rapido e agile (48%) e di adattarsi prontamente all’evoluzione del contesto competitivo (46%).

Serve un’attenzione costante

La cybersecurity richiede un’attenta pianificazione strategica: secondo lo studio di Deloitte, infatti, otto aziende italiane su dieci rivedono e aggiornano i propri piani di cybersecurity su base annua. A tal proposito, la quasi totalità delle aziende italiane (94%) ha già definito o sta definendo un piano olistico per la protezione da minacce cyber.

Le imprese italiane affermano di sviluppare e implementare piani operativi che valutano le modalità di protezione dai rischi cyber in ogni fase della gestione del trattamento di dati sensibili (96%) e dichiarano di includere in ogni valutazione, o di essere quasi pronte a farlo, la più ampia rete di stakeholder, monitorando ad esempio la security posture di partner e fornitori per i propri programmi di valutazione del rischio cyber (92%). 

L’importanza della formazione

Il tema della formazione delle professionalità qualificate nel campo della cybersecurity è centrale per le aziende italiane. La mancanza di talenti in questa area, riconosciuta da quattro leader italiani su 10 intervistati, richiederà la collaborazione di attori pubblici e privati per la sua soluzione.

Non a caso, la quasi totalità delle aziende italiane ritiene la formazione delle proprie risorse e dichiara di aver già implementato dei programmi di training per i dipendenti (92%). Affinché questi risultino efficaci, le organizzazioni devono però garantire che tale formazione sia erogata in modo continuativo, sia sempre aggiornata, sia coerente al risk appetite dell’azienda e offra percorsi differenziati e personalizzati. Circa due aziende italiane su tre indicano che i programmi di formazione sono sì utili per dotare le aziende delle giuste competenze, ma sono anche uno dei principali strumenti per coinvolgere, trattenere e sviluppare i talenti.