Kaspersky: il 76% delle aziende italiane ha subito incidenti di cybersecurity per errori di comunicazione

Poco più di due terrzi dei top manager in Italia (76%) ammette che un errore di comunicazione con il reparto o il team di sicurezza IT ha causato almeno un incidente di cybersecurity nelle loro aziende. Per quanto riguarda i comportamenti individuali, la maggior parte dei dirigenti non IT ha citato una diminuzione del senso di cooperazione tra i diversi team (25%) e ha dichiarato che la situazione li porta a mettere in dubbio le competenze e le capacità dei colleghi quando la comunicazione con i dipendenti sulla sicurezza informatica non è chiara (37%).

Secondo una recente indagine di Forrester Analytics, le aziende spendono in media 37 giorni e 2,4 milioni di dollari per rilevare una violazione della cybersecurity e risolverla. Per determinare quanto la comprensione reciproca tra dirigenti e team di sicurezza IT influisca sulla resilienza informatica dell’azienda, Kaspersky ha condotto un’indagine globale su oltre 1.300 leader aziendali[1].

Sulla base dei risultati dello studio, il 99% degli intervistati non IT ha riscontrato errori di comunicazione in materia di sicurezza informatica. Per quanto riguarda le conseguenze, il più delle volte l’interruzione delle comunicazioni porta a gravi ritardi nei progetti (64%) e a incidenti di cybersecurity (62%). Quasi un terzo degli intervistati (rispettivamente 28% e 29%) ha dichiarato di aver riscontrato questi problemi più di una volta. Inoltre, tra gli altri effetti negativi sono stati evidenziati anche lo spreco di budget (60%), la perdita di un dipendente di valore (62%) e il deterioramento delle relazioni tra i team.

Vi siete mai trovati di fronte a una di queste conseguenze negative provocate da una comunicazione errata in materia di sicurezza IT?

Oltre a peggiorare gli indicatori di business, una comunicazione poco chiara nei confronti dei dipendenti della sicurezza informatica influisce anche sullo stato emotivo del team e fa sì che i dirigenti mettano in dubbio le competenze e le capacità dei dipendenti. Inoltre, il 26% dei dirigenti ammette che le incomprensioni fanno perdere la fiducia nella sicurezza dell’azienda e il 31% ritiene che questa situazione li renda nervosi, incidendo sulle loro prestazioni lavorative.

Quale delle seguenti affermazioni, nel caso in cui sia presente, è rilevante quando la comunicazione con i dipendenti responsabili della sicurezza IT non è chiara?

“Una comunicazione chiara tra i dirigenti di un’azienda e la gestione della sicurezza informatica è un prerequisito per la sicurezza aziendale. La sfida consiste nell’immedesimarsi negli altri, per anticipare e prevenire gravi malintesi. Ciò significa che, da un lato, il CISO dovrebbe conoscere il linguaggio aziendale di base per spiegare meglio i rischi esistenti e la necessità di misure di sicurezza. Dall’altro lato, le aziende dovrebbero capire che la protezione delle informazioni nel XXI secolo è parte integrante del business e quindi destinare budget per quest’area è un investimento per proteggere il patrimonio aziendale”, ha commentato Alexey Vovk, Head of Information Security di Kaspersky.

Per rendere più trasparente la comunicazione tra la sicurezza IT e le funzioni aziendali, Kaspersky consiglia di:

·  Comprendere i professionisti appartenenti a un altro ambito richiede non solo empatia, ma anche conoscenze aggiuntive. Mentre gli addetti alla sicurezza informatica possono ottenere maggiori informazioni sui termini e sui concetti aziendali di base in diversi corsi di formazione, i dirigenti non informatici hanno l’opportunità di immedesimarsi nel ruolo di un CISO per ottenere approfondimenti sulle sfide più rilevanti per la sicurezza informatica.

·  I manager, sia IT che non, hanno il dovere e la responsabilità di non isolarsi. Essere al corrente dell’agenda del mondo aziendale e di quello della cybersecurity è un’altra chiave per il successo della comunicazione e della comprensione reciproca.

·  Gli specialisti della cybersecurity devono utilizzare argomenti affidabili e comprensibili nella comunicazione delle loro esigenze al consiglio di amministrazione per giustificare il budget destinato alla cybersecurity. Per dimostrare la probabilità dei rischi e le misure di protezione necessarie, è opportuno utilizzare informazioni sulle minacce e sulle misure di sicurezza più rilevanti per il settore e le dimensioni dell’azienda. Risorse come l’IT Security Calculator e i report basati sulle osservazioni degli esperti possono facilitare notevolmente questo compito.

·  In un momento in cui le minacce IT diventano sempre più rilevanti e le aziende sono costrette ad aumentare i budget per la sicurezza informatica, è estremamente importante destinare gli investimenti in cybersecurity a strumenti di comprovata efficacia e ROI. Ciò significa che gli strumenti che riducono il livello di falsi positivi, il tempo di rilevamento degli attacchi, il tempo speso per ogni caso e altre metriche sono importanti per qualsiasi team di sicurezza informatica.

Il report completo e ulteriori approfondimenti sui problemi di comunicazione tra C-level e responsabili della sicurezza IT sono disponibili al seguente link.