Il Global Cybersecurity Outlook 2023 del World Economic Forum, in collaborazione con Accenture, esamina le tendenze della cybersecurity che avranno un impatto sulle nostre economie e società negli anni a venire.
L’instabilità geopolitica, le tecnologie emergenti e in rapida maturazione, la mancanza di talenti disponibili e le crescenti aspettative degli azionisti e delle normative rappresentano alcune delle sfide significative che preoccupano i leader del settore informatico e aziendale.
Se i risultati del Global Cybersecurity Outlook dello scorso anno riflettevano l’impatto persistente della pandemia e gli effetti della rapida digitalizzazione, il Global Cybersecurity Outlook di quest’anno rivela le preoccupazioni per un mondo sempre più frammentato e imprevedibile.
Costruire la resilienza informatica, a livello globale, è stata una delle priorità principali del Centro per la sicurezza informatica del World Economic Forum fin dalla sua nascita. Il lavoro consiste nel creare ponti tra il settore pubblico e quello privato, tra gli esperti di cyber e i leader aziendali.
Quest’anno, quando il Centro ha coinvolto la sua rete di leader informatici e aziendali a livello globale per sollecitare le loro opinioni sulle minacce informatiche emergenti, hanno potuto constatare sia i progressi compiuti sia la strada ancora da percorrere per aiutare a tradurre le questioni relative al rischio informatico in una comunicazione che le C-suite (l’insieme dei dirigenti più importanti di una azienda) e i consigli di amministrazione possano utilizzare in modo efficace.
Le prospettive, tuttavia, non devono necessariamente sembrare fosche. C’è speranza per una migliore comprensione e un’azione più efficace in futuro.
I leader migliori si avvalgono di informazioni ad ampio raggio e ascoltano tutte le parti interessate, comprendono il loro ruolo e il loro impatto ed esercitano una buona capacità di giudizio per ottenere risultati ottimali.
Questi attributi non sono meno necessari nella cybersecurity che in qualsiasi altro settore.
In questa edizione del Global Cybersecurity Outlook, si registra un miglioramento in un’area cruciale: la consapevolezza dei problemi legati al rischio informatico, a livello esecutivo, è aumentata. Allo stesso tempo, il rapporto Global Cybersecurity Outlook di quest’anno rappresenta una sfida per i leader: pensare più profondamente alla cybersecurity e ascoltare più intensamente gli esperti di cyber e gli altri, per garantire la nostra resilienza comune.
Sentire non significa ascoltare
Secondo una ricerca condotta per lo studio 2023 del Global Cybersecurity Outlook, questo dato caratterizza in modo appropriato il rapporto tra i leader del settore informatico e quelli aziendali in molte organizzazioni. L’importanza del rischio informatico è stata certamente sentita nelle C-suite e nei consigli di amministrazione. Se i cyber leader e i business leader si capiscano abbastanza bene per affrontare questa sfida è, d’altra parte, una questione aperta.
Nel complesso, lo studio indica che i leader aziendali sono più consapevoli dei problemi informatici delle loro organizzazioni rispetto a un anno fa. Sono anche più disposti ad affrontare questi rischi.
Tuttavia, i cyber leader fanno ancora fatica ad articolare chiaramente il rischio che i problemi informatici rappresentano per le loro organizzazioni in un linguaggio che le loro controparti aziendali possano comprendere appieno e su cui possano agire. Di conseguenza, concordare il modo migliore per affrontare il rischio informatico rimane una sfida per i leader organizzativi.
Risultati principali del Rapporto sulla cybersecurity 2023
- Il carattere delle minacce informatiche è cambiato. Gli intervistati ritengono che i cyberattaccanti si concentrino maggiormente sull’interruzione dell’attività e sui danni alla reputazione. Queste sono le due principali preoccupazioni degli intervistati.
- L’instabilità geopolitica globale ha contribuito a colmare il divario di percezione tra l’opinione dei leader aziendali e quella dei leader informatici sull’importanza della gestione del rischio informatico: il 91% di tutti gli intervistati ritiene che un evento informatico catastrofico di vasta portata sia almeno in parte probabile nei prossimi due anni.
- Di conseguenza, il 43% dei leader organizzativi ritiene probabile che nei prossimi due anni un attacco informatico colpisca materialmente la propria organizzazione. Questo, a sua volta, significa che in molti casi le imprese stanno dedicando più risorse alle difese quotidiane che agli investimenti strategici.
- I problemi di protezione dei dati e di cybersicurezza creati dalla frammentazione geopolitica influenzano sempre più il modo in cui le aziende operano e i Paesi in cui investono.
- I dirigenti aziendali riconoscono che il rischio di cybersecurity della loro organizzazione sia influenzato dalla qualità della sicurezza della loro catena di fornitura di partner commerciali e clienti.
- I leader intendono rispondere a queste preoccupazioni rafforzando i controlli sulle terze parti che hanno accesso ai loro ambienti e/o dati, e rivalutando i Paesi in cui operano. Tuttavia, i leader aziendali sono più propensi a concentrarsi su soluzioni interne per la gestione del rischio informatico, mentre i leader della sicurezza attribuiscono una maggiore priorità alle partnership con altre organizzazioni.
- Molte organizzazioni stanno intraprendendo grandi progetti di trasformazione digitale. L’aggiunta di tecnologie emergenti all’IT tradizionale aumenta la complessità degli ambienti digitali delle organizzazion,i e quindi il rischio di cybersecurity. I leader hanno difficoltà a bilanciare il valore della nuova tecnologia con il potenziale aumento del rischio informatico nelle loro organizzazioni.
- I dirigenti informatici sono ora più propensi a considerare le leggi sulla privacy dei dati e le normative sulla cybersecurity come uno strumento efficace per ridurre i rischi informatici in un settore. Si tratta di un notevole cambiamento di percezione rispetto al rapporto 2022. Nonostante le sfide associate alla conformità, i leader del settore informatico hanno riconosciuto che la normativa incentiva le azioni necessarie per la sicurezza informatica.
- Le interazioni strutturate tra i leader informatici e aziendali stanno diventando sempre più frequenti: il 56% dei leader della sicurezza si incontra ora mensilmente o più spesso con il proprio consiglio di amministrazione. Questo sta rapidamente riducendo il gap di percezione della cybersecurity. Tuttavia, è necessario fare di più per promuovere la comprensione tra i team di business e di sicurezza per sostenere un’azione efficace da parte dei leader organizzativi.
- La costruzione di una cultura incentrata sulla sicurezza richiede un linguaggio comune basato su metriche che traducano le informazioni sulla sicurezza informatica in misure importanti per i membri del consiglio di amministrazione e per l’azienda in generale.
- Anche i cambiamenti nella struttura organizzativa che incorporano le discussioni sul rischio informatico in tutta l’azienda possono promuovere una comunicazione più fluida e una gestione efficace del rischio informatico.
- In definitiva, i leader informatici devono presentare i problemi di sicurezza in termini che i dirigenti a livello di consiglio di amministrazione possano comprendere e su cui possano agire. I leader aziendali, da parte loro, devono accettare una maggiore responsabilità per i requisiti informatici operativi onde far progredire le capacità informatiche complessive delle loro organizzazioni.
- Il reclutamento e il mantenimento in azienda dei talenti informatici continuano a essere una sfida fondamentale per la gestione della resilienza informatica. Un’ampia soluzione per aumentare l’offerta di professionisti del cyber è quella di espandere e promuovere gli sforzi di inclusione e diversità. Inoltre, la comprensione dell’ampio spettro di competenze necessarie oggi può aiutare le organizzazioni ad ampliare i propri bacini di assunzione. Alcune iniziative promettenti sono già in atto, ma tendono a concentrarsi su piccole realtà. Per rendere scalabili i programmi di sviluppo delle competenze informatiche sono necessari tempo, riflessione e investimenti.