Un report di McKinsey, “Organizational cyber maturity: A survey of industries” analizza il livello di maturità informatica organizzativa delle aziende in diversi settori alla luce della considerazione che quello attuale si sta rivelando essere il secolo dell’insicurezza informatica, dato che sono poche le organizzazioni che hanno fatto progressi sufficienti nella campo della cybersecurity.
Per stabilire il livello di maturità McKinsey ha condotto una survey relativa al livello di maturità della sicurezza informatica di oltre 100 realtà in vari settori industriali.
E ha scoperto che le aziende si stanno muovendo per raggiungere un livello di cybersecurity basato sulla riduzione del rischio e sulla resilienza, ma hanno ancora bisogno delle capacità di base necessarie per garantire la stabilità digitale e la fiducia dei clienti.
Queste capacità, secondo McKinsey, possono essere raggruppate in sette aree di azione:
- Dare priorità al patrimonio di informazioni e ai rischi correlati tramite una chiara roadmap
- Inserire risorse dedicate tra il personale di prima linea
- Integrare la resilienza informatica nei processi a livello aziendale
- Sviluppare una risposta integrata agli incidenti
- Integrare la sicurezza negli ambienti tecnologici
- Fornire livelli di protezione per le risorse più importanti
- Attivare azioni di cyber intelligence e awareness delle vulnerabilità, oltre a monitoraggio e analytics.
Vera cybersecurity solamente per un’azienda su dieci
I risultati hanno rivelato che mentre alcune aziende nei settori bancario e sanitario hanno ottenuto discreti progressi, la maggior parte delle organizzazioni in tutti i restanti settori ha ancora molto da fare per proteggere le proprie informazioni da minacce e attacchi.
Secondo il report, solamente il 10% delle aziende intervistate si sta avvicinando alle funzioni avanzate di cybersecurity.
Si tratta di aziende che gestiscono e misurano i controlli di sicurezza e privacy in un quadro di rischio aziendale, fissano soglie di propensione al rischio e includono tutti gli stakeholder nella modalità operativa della sicurezza informatica.
Il 20% delle aziende, invece, sta passando a stabilire un modello operativo e un’organizzazione per professionalizzare una funzione di sicurezza informatica, adottando un approccio al rischio informatico basato sulla maturità.
Il restante 70% deve ancora avanzare completamente verso un approccio basato sulla cyber maturity, colmando le lacune costruendo e rafforzando i fondamenti di sicurezza e resilienza, passando poi a stabilire un modello operativo e un’organizzazione per professionalizzare una funzione di sicurezza informatica.
I settori bancario, di beni e servizi di consumo e sanitario sono i più avanzati nella maturità della sicurezza informatica soprattutto per via di tre fattori.
Il contesto normativo: in questi settori sono state introdotte regolamentazioni che garantiscono un maggior controllo in tema di cybersecurity e il rischio di sanzioni.
Le aspettative dei consumatori: per le aziende operanti in questi settori, i progressi verso una sicurezza informatica più avanzata stanno accelerando a causa di violazioni dei dati di alto profilo e della crescente consapevolezza della minaccia alle informazioni. Sempre più clienti chiedono anche migliori controlli sulla privacy.
Le pressioni competitive: i consumatori possono passare ai competitor se non si fidano del fatto che i loro dati siano al sicuro.
Grandi, mature e profittevoli
Sebbene la maturità informatica e la redditività non siano direttamente correlate in tutte le organizzazioni oggetto di analisi da parte di McKinsey, è evidente una relazione complessiva tra una maggiore maturità informatica e margini migliori.
A parte le differenze per settore industriale, le organizzazioni che raggiungono i più alti livelli di sicurezza informatica sono più spesso di grandi dimensioni e di proprietà pubblica.
La maggior parte delle aziende analizzate ha buoni risultati nello svolgimento delle attività essenziali in ambito cybersecurity, in termini di comunicazione dei requisiti di sicurezza informatica a fornitori e terze parti, garantendo che i dati aziendali critici possano essere utilizzati, gestendo la sicurezza dell’accesso remoto e comunicando politiche e standard di sicurezza informatica in tutta l’organizzazione, migliorando continuamente standard e politiche in questo ambito.
La maggior parte delle organizzazioni trova alcune attività impegnative, in particolare mappare l’organizzazione e i flussi di dati o condurre frequentemente simulazioni di risposta alla sicurezza informatica;
Le organizzazioni leader secondo McKinsey sono definite dalle loro elevate prestazioni in diverse attività chiave come la revisione e l’aggiornamento delle priorità di sicurezza informatica almeno una volta all’anno, l’accesso a soluzioni per il provisioning e il deprovisioning per la maggior parte delle applicazioni, la scansione regolare dell’ambiente IT alla ricerca di vulnerabilità e approvvigionamento di intelligence su minacce standard e specifiche.
