Come gestire il rischio cyber all’interno delle organizzazioni?

A cura della Direzione Marketing VT Solutions & Consulting

Gestire il rischio cyber assume una rilevanza sempre maggiore: le organizzazioni devono prendere in considerazione la gestione dei rischi con una visione sempre più olistica, per indirizzare in maniera opportuna ed efficace le proprie priorità di investimento. Nel 49% delle organizzazioni la gestione del rischio cyber avviene all’interno di un processo integrato di risk management aziendale. Permane però una parte del campione che lo tratta come un rischio a sé stante all’interno di una specifica funzione o addirittura non lo monitora costantemente. La difesa da questo punto di vista deve ancora consolidarsi in quanto prevale una gestione frammentata del rischio cyber; solo nel 32% delle realtà aziendali vengono applicate metodologie di quantificazione finanziaria del rischio. Questo approccio, sebbene ancora poco utilizzato, permette di comunicare in maniera più efficace con i vertici aziendali rispetto all’importanza della cybersecurity, evidenziando i possibili impatti per il business derivanti da un potenziale incidente. 

Sulla base di ciò è necessario far fronte comune e anche grazie al ruolo dell’Agenzia per la Cybersicurezza Nazionale (ACN), le istituzioni stanno rappresentando un punto di riferimento nell’indirizzamento del cambiamento della macchina pubblica e nella definizione di una strategia comune. Dopo anni in cui il mercato della cybersecurity era gestito da organizzazioni private, nell’ultimo anno grazie alla spinta del PNRR anche il mondo pubblico ha mosso importanti passi in avanti. Sono stati stanziati importanti fondi sulla base di un piano pluriennale per lo sviluppo del ACN da cui sono stati già generati importanti cambiamenti sul piano nazionale come: 

• L’attuazione della strategia Cloud Italia, con lo sviluppo di un modello per la classificazione di dati e servizi della PA e la definizione dei requisiti per le infrastrutture digitali; 

• L’avvio del processo di reclutamento delle competenze che prevede entro la fine del 2023 l’introduzione di 300 unità a supporto dello sviluppo delle attività previste dall’Agenzia; 
• La pubblicazione e la presentazione della nuova Strategia Nazionale di Cybersecurity e del relativo Piano di Implementazione, con l’obiettivo di pianificare, coordinare e attuare una serie di misure volte ad aumentare la sicurezza e la resilienza del Paese; 
• L’avvio dell’operatività del CVCN (Centro di Valutazione e Certificazione Nazionale), per la valutazione di beni e servizi ICT destinati a essere impiegati su infrastrutture che supportano la fornitura di servizi essenziali;  
• Il trasferimento delle funzioni di cybersecurity ad AgID e MISE, verso una gestione centralizzata e più omogenea di tutti gli aspetti di sicurezza 

Le azioni dell’ACN hanno già avuto un impatto diretto sul mercato generando un ulteriore stimolo agli investimenti in cybersecurity anche da parte di altre aziende private. Con il cambiamento a livello istituzionale e normativo anche su un piano europeo, la strategia nazionale ha un ruolo fondamentale nell’indirizzare la creazione di un fronte comune che permetta di affrontare le enormi sfide derivanti dal cambiamento del contesto.