Viviamo in un mondo più rischioso rispetto al passato? La risposta è sì secondo il 72% dei top manager delle aziende di tutto il mondo intervistati da BDO per l’edizione 2017 del Global Risk Landscape, il report annuale della società di revisione contabile e consulenza alle imprese che indaga i fattori di rischio del business internazionale.

Ciò che stupisce è che, tra i primi tre fattori di rischio citati, non compaia quello relativo alla sicurezza, surclassato dalle preoccupazioni sulla non conformità rispetto alle normative (35%), dalla crescente competizione nel mercato (30%) e dalla crisi economica (29%). Se interrogati rispetto all’impreparazione delle aziende rispetto ai cambiamenti in atto nel business globale, solo il 21% dei leader aziendali europei indica il cyber rischio come fattore che coglierà di sorpresa le loro imprese nei prossimi 10 anni.

Il contesto tratteggiato dal report BDO sembra del tutto inadeguato allo scenario globale attuale, in cui assistiamo ad attacchi informatici di scala mondiale come WannaCry e Petya. Se a ciò si aggiungono le stime di Ponemon e IBM, che individuano in 4 milioni di dollari la perdita economica media causata ad un’azienda da una violazione dei sistemi nel corso del 2016, con un incremento degli attacchi ransomware del 6.000% l’anno scorso, appare chiaro che il problema della sicurezza sia quanto meno sottovalutato.

Secondo BDO sono otto gli step che ogni azienda dovrebbe intraprendere per potersi definire resiliente agli attacchi cibernetici. Il primo è quello di aggiornare costantemente i sistemi informatici di sicurezza con le ultime versioni software disponibili, per evitare le cosiddette 0-day, vulnerabilità di sicurezza non pubblicamente note.

sicurezza

Il secondo passo è installare dei sistemi di monitoraggio che attivino tempestivamente l’allarme in caso di violazione. Importantissimo, poi, è conoscere quali dati sono contenuti nei propri sistemi e come vengano difesi. Il quarto passo è, appunto, proteggere con adeguati sistemi di controllo di accesso tali dati. Il quinto riguarda, invece, la cultura aziendale: occorre insegnare a tutti i dipendenti come riconoscere un attacco hacker in corso e come assumere comportamenti sicuri durante il lavoro quotidiano.

Il passo successivo è guardare alla catena di approvvigionamento aziendale e assicurarsi che anche stakeholder e terze parti siano adeguatamente preparati nei confronti del cyber rischio, condividendo anche le buone pratiche (settimo step). Infine, occorre saper discutere adeguatamente del rischio cibernetico al vertice, così come si discuterebbe di qualsiasi altro rischio, economico o di altra natura.

In caso di attacco, come si legge sempre sul report di BDO, la prima cosa da fare è accorgersi che l’attacco è in corso. Poi, occorre spegnere immediatamente le parti del sistema attaccate, per evitare la propagazione del contagio. A livello reputazionale e comunicativo, inoltre, è necessario che ogni azienda prepari in anticipo una dichiarazione standard ufficiale da poter inviare tempestivamente alla stampa e agli stakeholder.

Con l’entrata in vigore del GDPR europeo, diventa inoltre obbligatorio avvisare l’autorità competente di aver accertato una fuga di dati entro e non oltre 72 ore dalla scoperta. Anche la stipula di un prodotto assicurativo specifico può rivelarsi utile, ma solo per quei casi di forte impatto e bassa probabilità di accadimento.