Jurgens (WEF): Colmare lo skills gap primo obiettivo per aziende cyber-resilienti

Sulla cybersicurezza e la cyber-resilienza, da parte delle imprese, non ci sono mezze misure. O il tema è frutto di investimenti (anche significativi) e di una politica rispetto alla quale tutti il top management, a partire dal Ceo, è consapevolmente ingaggiato, oppure - se la sicurezza del perimetro digitale non è gestita in maniera strategica - l’azienda non è in grado di far fronte in maniera efficiente a rischi che sono sempre più alti, diffusi, specializzati.

È questo il filo conduttore del ragionamento, supportato da dati raccolti da interviste a 120 dirigenti ai vertici di aziende di tutto il mondo, che accompagna lo sviluppo dell’ultimo Global Cybersecurity Outlook pubblicato a fine gennaio dal World Economic Forum (WEF).

Dal report emerge chiaramente come il tema della resilienza informatica sia ormai strettamente connesso non solo con i temi della sicurezza rispetto ad attacchi della criminalità digitale a scopo di rapina, ma sia un vero e proprio fattore di sicurezza per i diversi sistemi economici nazionali, rispetto a uno scenario globale dove l’attacco alla “sicurezza economica” di un Paese o di un’area geografica è uno strumento di guerra e destabilizzazione sempre più usato.

Un fronte di insabilità potenziato dalla diffusione accellerata di nuove tecnologie - a partire da quelle di intelligenza artificiale - che rendono ancora più gravi e subdoli i pericoli (si pensi, e il Report vi dedica un lungo approfondimento, ai danni che possono produrre le fake news in un anno come il 2024, con le elezioni Presidenziali negli Stati Uniti, il rinnovo del parlamento in India, le elezioni per il Parlamento Europeo e in molti altri Stati.

 

 

 

“Nel 2023 il mondo si trova ad affrontare un ordine geopolitico polarizzato, molteplici conflitti armati, scetticismo e fervore sulle implicazioni delle tecnologie future e incertezza economica globale”, scrive Jeremy Jurgens, Managing Director, World Economic Forum Switzerland, introducendo il Report. “In questo complesso panorama, l'economia della cybersecurity è cresciuta esponenzialmente più velocemente dell'economia globale e ha superato la crescita del settore tecnologico. Tuttavia, molte organizzazioni e paesi hanno vissuto questa crescita in modi eccezionalmente diversi. È emerso un netto divario tra le organizzazioni cyber-resistenti e quelle in difficoltà. Questa chiara divergenza nell'equità informatica è esacerbata dai contorni del panorama delle minacce, dalle tendenze macroeconomiche, dalle normative di settore e dall'adozione precoce di tecnologie che cambiano i paradigmi da parte di alcune organizzazioni. Altre barriere evidenti, tra cui l'aumento dei costi di accesso a servizi, strumenti, competenze e conoscenze informatiche innovative, continuano a influenzare la capacità dell'ecosistema globale di costruire un cyberspazio più sicuro a fronte di una miriade di transizioni”. 

Lo sviluppo dello studio si concentra proprio sulla dannosa polarizzazione che, già rispetto ai rilevamenti dello scorso anno, vede assottigliarsi quel mondo di mezzo delle aziende che erano impegnate a mantenere una “resilienza informatica minima”, ovvero almeno i requisiti minimi di sicurezza.

Secondo i trend mostrati dal World Economic Forum, nel 2022  l'economia della cybersecurity è cresciuta due volte più velocemente dell'economia mondiale. Nel 2023, la crescita è stata quattro volte superiore. Sebbene gli investimenti organizzativi nella resilienza informatica siano complessivamente in aumento, la rapida innovazione e la crescita stanno portando a uno sviluppo disomogeneo. 

“Le economie più grandi e sviluppate raccolgono i frutti delle nuove tecnologie, mentre le nazioni, i settori e le comunità meno sviluppate continuano a rimanere indietro. In questo caso, la rapida crescita tecnologica, sebbene avvantaggi molti in termini di accesso, innovazione e persino collaborazione, sta anche creando un'iniquità sistemica nell'economia globale della cybersecurity e nasconde una pronunciata disparità tra le capacità di resilienza informatica delle organizzazioni che compongono i suoi mercati”, scrivono gli analisti.

Il Global Cybersecurity Outlook per il 2024 rileva che le organizzazioni che mantengono una resilienza informatica minima vitale, ovvero un gruppo medio sano di organizzazioni, stanno scomparendo: sono diminuite del 31% rispetto al 2022. “La distanza tra le organizzazioni sufficientemente resilienti dal punto di vista informatico per prosperare e quelle che lottano per sopravvivere si sta allargando a un ritmo allarmante. Di conseguenza, le organizzazioni meno capaci sono perennemente incapaci di stare al passo con la curva, rimanendo sempre più indietro e minacciando l'integrità dell'intero ecosistema. Il costo dell'accesso a servizi, strumenti e talenti informatici adeguati e l'adozione precoce di tecnologie all'avanguardia da parte delle organizzazioni più grandi dell'ecosistema sono due fattori fondamentali che determinano il divario”. 

 

 

La conseguenza? “Il numero di organizzazioni che mantengono una resilienza informatica minima sostenibile è sceso del 30%. Mentre le grandi organizzazioni hanno dimostrato notevoli guadagni in termini di resilienza informatica, le PMI hanno registrato un calo significativo”, mostrano i dati. ”La metà delle organizzazioni più piccole per fatturato dichiara di non avere o di non essere sicura di avere le competenze necessarie per raggiungere i propri obiettivi informatici. Solo il 15% di tutte le organizzazioni è ottimista sul fatto che le competenze e la formazione in ambito informatico miglioreranno significativamente nei prossimi due anni. Il 52% delle organizzazioni pubbliche dichiara che la mancanza di risorse e competenze è la sfida più grande quando si progetta la resilienza informatica”.

Come ricordato, questa fragilità dei singoli soggetti della filiera, se pur piccole imprese, rischia di essere una “falla” capace di mettere in crisi tutta la catena del valore. In quanto, appunto, la cyversicurezza non è più un tema di singoli soggetti, ma è una questione di sistema.

“Questo fenomeno è particolarmente allarmante alla luce della natura interconnessa dell'ecosistema informatico”, sottolinea il WEF. “Una delle misure fondamentali della resilienza informatica è la comprensione del proprio ecosistema, compresa la valutazione del rischio della catena di fornitura e di terzi. Per le grandi organizzazioni che dichiarano di essere leader nella resilienza informatica, l'emergere di questo drastico calo nella resilienza informatica delle piccole organizzazioni dovrebbe essere particolarmente allarmante. Si consideri un rapporto 2023 di SecurityScorecard e del Cyentia Institute, che ha rilevato che il 98% delle organizzazioni ha un rapporto con almeno una terza parte che ha subito una violazione negli ultimi due anni. Questo tipo di intreccio dovrebbe essere una ragione sufficiente per coloro che sono più resilienti dal punto di vista informatico per aiutare proattivamente le organizzazioni del loro ecosistema a muoversi verso una postura informatica più sana. 

 

 

 

Questo fenomeno, talvolta caratterizzato come "soglia di povertà della cybersecurity" (CPL), si riferisce generalmente ai costi proibitivi per garantire una solida cybersecurity al personale, alla tecnologia e ai sistemi di un'organizzazione. Ma questo divario va ben oltre i costi proibitivi, e riguarda il divario di competenze informatiche, un problema ben documentato anche per le più grandi organizzazioni globali. Altri fattori, come la conoscenza dei leader, la capacità di comprendere le nuove best practice e l'accesso a tecnologie altamente innovative, incidono drammaticamente sulla capacità di un'organizzazione di essere all'avanguardia. Come afferma il Consiglio Atlantico, "la povertà informatica presenta dinamiche molto simili alla povertà del mondo reale: la semplice fornitura di denaro o di competenze gratuite non risolve necessariamente le carenze tecnologiche, gli scarsi incentivi di mercato, gli atteggiamenti socioculturali non allineati verso la sicurezza o altre barriere".

Più che richiamare agli investimenti su questo fronte, il Repor chiama i Ceo globali a ragionare sulle competenze e sulle professionalità di cui le aziende, ormai, non possono non dotarsi, per porre da subito un rimedio a questo drammatico e pericoloso skills gap.

“I dirigenti sanno che in un panorama di cybersecurity in evoluzione, caratterizzato da incertezze economiche, attrarre e trattenere i talenti della cybersecurity è un aspetto cruciale del successo organizzativo. L'offerta di tecnologie emergenti che entrano nell'ecosistema digitale continuerà a intensificare in modo significativo la domanda di professionisti qualificati. Tuttavia, il pool di professionisti disponibili è già troppo esiguo e la pipeline di talenti in ascesa è tristemente asciutta. Di anno in anno, sempre più organizzazioni non dispongono del numero di persone con le giuste competenze per raggiungere gli obiettivi di resilienza informatica. Nel 2022, il 6% dei leader ha dichiarato di non disporre delle competenze e delle persone necessarie per rispondere a un incidente informatico. Nel 2023, la percentuale è raddoppiata al 12%. Quest'anno, alla domanda se la loro organizzazione dispone delle competenze necessarie per raggiungere i propri obiettivi informatici, il 20% ha risposto di no. Anche i leader che non sono sicuri di avere le competenze necessarie sono passati dal 4% del 2022 all'11% di quest'anno”.