CYBERSECURITY: COSA SI STA FACENDO E COSA SI POTREBBE FARE

Sappiamo ormai da tempo che non esistono sistemi informatici sicuri al 100%.

In italia, si sono sovrapposte tre situazioni concomitanti particolari che hanno avuto un impatto importante sulla sicurezza informatica:

• la pandemia, dovuta al COVID-19, ha comportato una forte focalizzazione delle aziende su meri aspetti sanitari e sul mantenimento del proprio core business, ma anche una generalizzata riduzione degli investimenti riguardanti l’ambito della sicurezza informatica;
• la strategia compensativa dello smart working ha prodotto un allargamento del perimetro di utilizzo dei sistemi informativi aziendali, ma parimenti anche un incremento considerevole delle possibilità, da parte degli hacker, di attentare alla sicurezza dei sistemi stessi;
• le modalità di intervento, messe in atto dalle società di cybercrime, si sono evolute sia a livello metodologico che a livello tecnologico, anche grazie a cospicui finanziamenti provenienti da entità, aventi precisi scopi criminali e terroristici, oltre ai tradizionali obiettivi lucrativi.

Ciò premesso, ora cerchiamo di fare alcune brevi considerazioni, desunte da varie ricerche ed osservatòri realizzati sia da università che da società di consulenza.

Buona consapevolezza, ma bassi investimenti: quasi tutte le aziende, indipendentemente dalla loro dimensione, sono sensibili al problema della sicurezza informatica. Ma, a causa della riduzione degli investimenti e del difficoltoso mantenimento delle proprie posizioni di mercato, non hanno potuto esprimere investimenti particolarmente significativi in cybersecurity. Ricordiamo che solo una minima parte delle aziende italiane dichiara di aver subito un attacco informatico, lasciando libertà di interpretare tale indicazione sia come un modo per non esporsi e sia come una mancanza di adeguati strumenti di rilevazione di intrusione e/o di sottrazione di dati.

Misure adottate e analisi del rischio: la stragrande maggioranza delle aziende italiane dispone degli strumenti di sicurezza ICT più basilari (antivirus, firewall e Intrusion Detection System) e circa l’80% esegue o ha eseguito analisi del rischio informatico (anche se rimangono comunque forti perplessità sia sulla qualità che sulla frequenza di aggiornamento di tali analisi). In altri termini si potrebbe dire che le aziende italiane, particolarmente quelle piccole e medie, hanno in generale adottato un approccio self-made, sia per le metodologie che per le practice, mentre le grandi aziende, essendo più sensibili ai problemi reputazionali conseguenti ad eventuali attività di pirateria informatica, hanno optato per approcci più professionali e per l’utilizzo di best practice di settore.

Responsabili interni della sicurezza: la presenza, all’interno del proprio organico, di responsabili esperti di sicurezza informatica è certo sinonimo di interesse e sensibilità aziendale al problema. Anche in questo caso le percentuali sono crescenti (dal 25% all’80% circa) in funzione delle dimensioni dell’azienda. E’ logico che aziende medio-grandi possono permettersi di mantenere figure dedicate alla sicurezza informatica, mentre aziende piccole e medio-piccole distribuiscono tali funzioni nell’ambito dell’IT, utilizzando sporadicamente servizi esterni di consulenza.

Basso numero di certificazioni: come corollario del punto precedente, ne discende che le aziende italiane investono poco per la certificazione della propria azienda in ambito cybersecurity. I costi elevati per ottenere tali certificazioni e il massivo utilizzo del tempo di persone esperte per la realizzazione delle stesse sono i freni che rallentano e bloccano l’avvicinamento delle aziende italiane a tali obiettivi. Elementi che farebbero propendere verso tali investimenti sarebbero la necessità di conseguire la certificazione per obbligo normativo o le necessità legate alla partecipazione ad una determinata filiera, in cui partner, clienti e fornitori siano tutti effettivamente (e non solo formalmente) obbligati ad utilizzare determinati elevati standard di sicurezza informatica.

Cyber insurance:  si è andata affermando anche la possibilità di utilizzare polizze assicurative a copertura del rischio residuo derivante dai danni generati da attacchi hacker o da data breach, inerenti dati personali di cui l’azienda è titolare. Vista l’attuale situazione economica, tali polizze sono pensate soprattutto per le grandi aziende e comunque non possono essere considerate come una possibile soluzione alternativa alla realizzazione di una seria infrastruttura di sicurezza informatica, ma solo come un’opportunità di limitare i danni economici eventualmente causati dalla fuga di dati aziendali.

La soluzione auspicata deve essere sicuramente basata su un approccio olistico: una mentalità che deve pervadere sia le strutture interne all’azienda che l’ambito esterno della stessa (partner, clienti, fornitori, amministrazioni pubbliche devono essere tutti soggetti attivi, contemporaneamente tendenti allo stesso obiettivo). La sicurezza informatica deve essere vissuta in modo pervasivo a tutti i livelli aziendali (sensibilizzazione del top management, sensibilizzazione e direttive per il middle management e formazione ed addestramento continui per tutti i dipendenti), ma deve essere considerata anche come misura per la selezione di partner e fornitori (certificazioni e utilizzo di metodologie comuni), nonché come strumento per la realizzazione di stretti interscambi con i vendor delle principali tecnologie abilitanti.

Se dovessimo fare una sintesi, diremmo che le aziende italiane si sono incamminate su una strada, sicuramente lunga e tortuosa, con la destinazione comune del raggiungimento della massima sicurezza ICT, che dovrà essere condivisa da tutti i soggetti e pertanto basata obbligatoriamente su un approccio olistico.

ACTION ICT (Marzo 2021)

ACTION ICT è un’azienda di informatica giovane, dinamica e innovativa. Opera, sia a livello nazionale che internazionale, offrendo competenze professionali e soluzioni progettuali nell’ambito dell’ICT a clienti di medie e grandi dimensioni. Le nostre aree di eccellenza sono coperte da tre nostri centri di competenza: ACTION DATA (Big Data Analytics e Intelligenza Artificiale), ACTION APP (Web & Mobile Application) e ACTION IOT (Internet of Things e Robotica).