Page 25 - 78

P. 25

on its own or even jointly. The long-term solution or even years, but companies can achieve their
requires redefining cybersecurity as a set of strate- cybersecurity maturity goals by following a clear
gic capabilities that can be built and improved over set of discrete steps.
time to continuously address the ever-evolving th-
reat of cyberattacks. Neither technology solutions Develop a baseline. Understand where you are
nor third-party services nor following industry stan- starting from by measuring current maturity levels
dards can substitute for a fully holistic approach to across the full range of 20 capabilities.
cybersecurity maturity (see Figure 2).
Identify benchmarks, and determine tar-
Building up these capabilities to the appropriate le- get maturity levels for capabilities. Establish
vel of maturity takes a sustained effort over months the target capability maturity level that is right for

La maggior parte delle aziende sovrastima

la propria cybersecurity, ma la resilienza è

possibile

La spesa delle aziende in soluzioni e servizi a supporto della cybersecurity è in continua ascesa, con un
incremento a livello globale tra l’8 e il 10%. Questo trend di crescita accelerata è confermato anche per il
mercato italiano e si traduce in una spesa attesa delle aziende nazionali in hardware, software e servizi in
cybersecurity di oltre 2 miliardi di euro nel 2020.
Nonostante il costante e rilevante impegno di spesa delle aziende, il rafforzamento della cybersecurity in molti
casi si concentra in modo sbilanciato sulla dimensione della tecnologia, non investendo sufficiente attenzione
manageriale e risorse sull’evoluzione di altre tre dimensioni critiche per assicurare una protezione aziendale a
360 gradi, quali la governance, i processi e l’adeguamento organizzativo. Il risultato è che ad oggi, nonostante
la spesa multimilionaria, il 76% delle aziende è ancora distante dalla piena adozione delle best practice della
sicurezza informatica.
Per quanto riguarda la dimensione della governance, alcuni elementi chiave sono sottovalutati o non affrontati
in modo sufficientemente strutturato, quali per esempio la revisione sistematica di tutte le capability di
cybersecurity e il disegno di una strategia e di una roadmap evolutiva pluriennale, chiara ed eseguita in modo
disciplinato, monitorata attraverso update periodici a livello di C-level e Board, definendo adeguati “reliance
plan” e potenziali coperture assicurative correlate.
Oltre alla governance, anche i processi necessitano di evolvere adottando la lente della sicurezza. Questo non
riguarda solo le attività specialistiche della cybersecurity (e.g. vulnerability management, data loss prevention)
ma anche le normali attività aziendali interne e i rapporti con i fornitori e le terze parti. Nei processi interni
accade, infatti, di non investire sufficiente attenzione per esempio alle policy di identity e asset management,
mentre in termini di ecosistema non tutte le aziende effettuano attività di strategic vendor risk management.
Infine, il fattore umano della sicurezza informatica non può che passare da un’adeguata formazione delle
risorse aziendali, non solo specialistiche, ma dell’intera organizzazione aziendale per promuovere l’aderenza a
comportamenti adeguati e virtuosi che evitino di esporre l’azienda, le risorse informatiche e i dati a potenziali
attacchi informatici. Anche su questa dimensione, meno della metà delle aziende fornisce un programma di
formazione strutturato delle proprie risorse umane.
Per superare un punto di partenza spesso distante dalle best practice attese, nella nostra esperienza ci sono
quattro elementi chiave che le aziende dovrebbero adottare:
Sviluppare una prospettiva olistica sul punto di partenza, che vada oltre la mera dimensione
tecnologica, integrando una prospettiva profonda anche su governance, processi e organizzazione aziendale;
Identificare benchmark solidi e profondi per determinare la maturità obiettivo che l’azienda intende
darsi su ciascuna dimensione, non fermandosi a metriche di comparazione troppo di alto livello (e.g. % di
spesa in sicurezza informatica) che non permettono di identificare le aree necessarie di evoluzione;
Disegnare ed eseguire in modo disciplinato una strategia e una roadmap pluriennale, rifuggendo
l’illusione che un insieme di iniziative tattiche permettano all’azienda di raggiungere una piena maturità su tutte
le dimensioni della cybersecurity;
Assicurare un impegno trasversale dell’azienda nel raggiungimento del programma di
trasformazione, inserendo l’evoluzione della cybersecurity in una regolare revisione da parte dei
vertici aziendali, nonché la strutturazione di programmi di formazione e change management dell’intera
organizzazione aziendale,

(°) Abstract a cura di Mauro Colopi, Partner, Bain & Company Italia

Impiantistica Italiana - Marzo-Aprile 2020 23 23

20 21 22 23 24 25 26 27 28 29 30