Rischio Cyber: obbligatoria una gestione multidimensionale

(Via ISPI)

Ormai è risaputo: gli attacchi cibernetici riguardano tutti, nessuno escluso. Le probabilità di incorrere in perdite economiche dovute a questo tipo di incidenti  è anzi oggi uno dei rischi più elevati per le aziende e lo sarà sempre di più in futuro. Nell’ultimo Allianz Risk Barometer, il rischio cyber è del resto stabile al secondo posto tra i dieci maggiori rischi per il business, di poco staccato dal rischio di interruzione delle operazioni business.

Se si considera che gli attacchi cibernetici possono avere l’effetto di bloccare i processi produttivi – come nel caso del malware NotPetya –, ecco che i rischi legati allo spazio cyber sono in assoluto quelli più temuti. Esperti e analisti sottolineano come tali pericoli siano stati sottostimati dalle élite aziendali. Recentemente però qualcosa è cambiato. Con l’entrata in vigore della normativa europea sul GDPR con le sue sanzioni a carico delle aziende in caso di inadempimenti relativi alla perdita dei dati sensibili, la gestione del rischio cibernetico è diventata prioritaria in ogni realtà economica.  Le problematiche, per molto tempo considerate appannaggio del comparto IT, sono così entrate anche nei dossier prioritari di molti board aziendali. 

Per far fronte a tale urgenza è necessario sviluppare una cybersecurity in almeno tre dimensioni: policy aziendali, tecnologia e politiche del personale. Per quanto riguarda le prime, esse devono essere all’altezza della sfida, sviluppando in particolare un approccio olistico alla problematica in maniera tale di giungere a una piena consapevolezza delle proprie risorse e delle proprie vulnerabilità. Un inventario e un monitoraggio costante sono alla base di qualsiasi piano di contingenza che possa garantire la business continuity in caso di incidenti. Ma non solo: a questo livello, è necessario considerare anche il contesto economico, politico e normativo nel quale si opera. Ciò vale sia per le aziende locali sia per chi investe all’estero. Ad esempio, un’azienda che delocalizza, importa o esporta in un paese fuori dall’Unione europea deve necessariamente considerare quali sono le regolamentazioni, le criticità e i pericoli maggiori presenti, anche nel dominio cibernetico, in quel paese. Infine, utile a questo livello, potrebbe essere la stipulazione di una assicurazione che copra il rischio derivante dall’operare nello spazio cibernetico.

Per quanto riguarda l’aspetto tecnologico, esso non si risolve nella protezione tecnica dei software e degli hardware, nell’attenzione allo sviluppo di nuove patch per la vulnerabilità dei programmi o dei sistemi operativi in uso, nell’utilizzo di servizi cloud per conservare i dati. Una strategia di cybersecurity solida dovrebbe essere multi-livello e considerare anche indirizzi email del personale, i dispositivi dei dipendenti nel caso di politiche “Bring your own device” (BYOD), il numero di server in uso nell’azienda (se non usa servizi esterni). Inoltre, l’azienda dovrebbe considerare la sicurezza fisica dei propri dati e dei propri sistemi e ricorrere a regolari verifiche effettuate tramite penetration testing.

Infine è importante considerare anche le politiche per il personale, anello più debole di qualsiasi strategia di sicurezza cibernetica. Scorrette pratiche quotidiane nell’utilizzo delle tecnologie possono compromettere gravemente la sicurezza dell’intera azienda. Per far fronte a questa evenienza, più diffusa di quel che si possa immaginare, è necessario implementare o rendere disponibili corsi di formazione in cyber hygiene per tutto il personale.

Come un dossier ISPI ha già avuto modo di sottolineare, è auspicabile un significativo “cambio di passo”, che equipari il modo in cui ci raffrontiamo ai temi della sicurezza cibernetica alle basilari norme sociali, quali ad esempio quelle che attengono alle più essenziali norme di igiene personale. Insomma, la gestione del rischio cibernetico abbraccia tutto lo spettro di politiche e comparti aziendali e concerne qualsiasi attore che lavori in azienda, dal CEO al venditore porta a porta. Ma, per far fronte a tale sfida, è importante che anche il settore pubblico faccia la sua parte. A tal proposito in Italia si stanno sviluppando politiche mirate allo sviluppo sinergico di partenariati pubblico-privati, tema che è stato al centro della conferenza tenutasi all’ISPI mercoledì 8 maggio alla presenza, tra gli altri, Angelo Tofalo, sottosegretario alla Difesa e Roberto Baldoni, vice-direttore del Dipartimento Informazioni per la Sicurezza.

Fonte: ISPI