12/10/2022
Cybersecurity: i CFO ne sottovalutano i rischi e causano alle aziende perdite per milioni di dollari
Greg Michaels (Kroll): Il Direttore Finanziario e il CISO (Chief Information Security Officer) dovrebbero lavorare fianco a fianco, aiutando l'organizzazione a gestire il rischio operativo e finanziario degli attacchi informatici
I Direttori Finanziari (CFO) a livello globale tendono a sottostimare i rischi legati alla sicurezza informatica, anche a causa della loro alta fiducia nelle capacità della loro azienda di saper rispondere a un incidente. E' quanto emerge dal report Cyber Risk and CFOs: Over-Confidence is Costly di Kroll.
Lo studio, realizzato dallo StudioID di Industry Dive, ha messo in luce tre principali evidenze tratte dalle risposte date dai 180 CFO intervistati in tutto il mondo:
- Scarsa visibilità dei rischi informatici. L'87% dei CFO intervistati risulta molto o estremamente fiducioso nella capacità della propria organizzazione di rispondere agli attacchi informatici. Questo è in contrasto con il livello di visibilità che i Direttori Finanziari hanno sulle problematiche legate ai rischi informatici, dato che solo quattro intervistati su dieci partecipano a briefing regolari con i loro team IT.
- Gli attacchi informatici causano danni significativi. Quasi tre quarti (il 71%) delle organizzazioni comprese nel campione analizzato, hanno subito perdite finanziarie per oltre 5 milioni di dollari a causa di incidenti informatici avvenuti negli scorsi 18 mesi e il 61% ha subito almeno tre attacchi informatici significativi durante questo periodo.
L'82% dei CFO intervistati ha affermato che le proprie aziende hanno subito una perdita del 5% o più del loro valore in seguito al più rilevante problema di sicurezza informatica avvenuto negli ultimi 18 mesi.
- Aumento degli investimenti in sicurezza informatica. Il 45% degli intervistati prevede di aumentare di almeno il 10% il proprio budget dedicato alla sicurezza informatica.
Secondo Greg Michaels, Global Head Cyber Governance and Risk della Practice Cyber Risk di Kroll, "spesso vediamo che i CFO non sono sufficientemente consapevoli del rischio finanziario rappresentato dalle minacce informatiche finché non devono affrontare un incidente. A quel punto, è chiaro che devono essere coinvolti non solo nel ripristino dell'operatività - inclusa la possibilità di accedere ai fondi di emergenza e l'attivazione di nuovi fornitori - ma anche nella definizione della strategia e negli investimenti relativi alla cyber security sia prima che dopo gli attacchi. In definitiva, gli attacchi informatici rappresentano un rischio finanziario per l'azienda e possono avere un impatto significativo sul suo valore. Pertanto, è fondamentale che questo aspetto sia incluso in considerazioni più ampie sul rischio aziendale.
Il CFO e il CISO (Chief Information Security Officer) dovrebbero lavorare fianco a fianco, aiutando l'azienda a gestire il rischio operativo e finanziario degli attacchi informatici".
Per David Ball, Managing Director della practice Valuation Advisory Services di Kroll, "le minacce informatiche possono potenzialmente causare danni materiali o alle attività di un'azienda, in particolare quelli immateriali, tra cui la proprietà intellettuale, le relazioni con i clienti e il valore del marchio. È importante che i CFO comprendano l'impatto degli incidenti informatici su questi asset e siano in grado di valutare e quantificare l'impatto finanziario e i potenziali rischi per l'azienda".
A che punto siamo nella zona EMEA
Il report di Kroll ha inoltre evidenziato che:
- Il 40% degli intervistati nella zona EMEA ha dichiarato di venire aggiornato su base mensile dal team IT sulle problematiche di sicurezza informatica, rispetto al 24% a livello globale;
- Il 43% dei rispondenti della zona EMEA ha riscontrato più di tre incidenti legati alla sicurezza informatica negli ultimi 18 mesi, rispetto al 61% a livello globale;
- Solo il 28% degli intervistati della zona EMEA si dichiara estremamente fiducioso nella capacità della propria azienda di rispondere a un incidente informatico nei prossimi 12 mesi, rispetto al 53% che ha affermato lo stesso a livello globale.
Questo potrebbe essere un fenomeno culturale, o forse legato al fatto che nella regione EMEA è meno diffusa l'abitudine di stipulare un'assicurazione informatica, rendendo quindi la minaccia di un attacco informatico probabilmente più significativa per il ruolo di CFO
Secondo Mario Ciccarelli, Vice Presidente della practice Cyber Risk di Kroll, "i CFO non possono più ignorare le conseguenze finanziarie di un potenziale attacco informatico. È importante che comprendano l'evoluzione dello scenario delle minacce informatiche partecipando a briefing con il team di sicurezza IT, in modo che possano gestire al meglio i rischi collegati. Solo attraverso un loro maggiore coinvolgimento nella definizione degli investimenti in sicurezza informatica e nella pianificazione finanziaria relativa alla risposta agli attacchi, i Direttori Finanziari possono contribuire a migliorare la resilienza aziendale agli attacchi informatici".
"Il nostro report fa emergere che i CFO in Europa, Medio Oriente e Africa (EMEA) siano molto più coinvolti nel team di sicurezza informatica che in altre parti del mondo. Il 40% ha infatti riferito di essere stato aggiornato mensilmente dai propri team IT, rispetto al 24% a livello globale. È interessante notare che, nonostante il minor numero di incidenti - il 43% degli intervistati nell'area EMEA ha subito più di tre incidenti di sicurezza negli ultimi 18 mesi, rispetto al 61% a livello globale - i CFO si dichiarino meno fiduciosi nella capacità della propria azienda di rispondere a un attacco informatico.
