A fronte della sofisticatezza degli attacchi e dell’allargamento del perimetro da difendere, le aziende devono cambiare il loro approccio se vogliono contrastare il cybercrime. La security diventa un asset strategico

sicurezza informatica

Imprese, privati e pubbliche amministrazioni sono sempre più colpite da minacce informatiche. Nessuno è escluso. E i dati lo confermano: nell’ultimo anno, secondo l’ultimo Rapporto Clusit, il cybercrime è cresciuto de 30%, così come del 39% gli attacchi con finalità di spionaggio. Ancora maggiore è l’aumento dell’attenzione dei criminali informatici verso le infrastrutture critiche (154%). Non si devono inoltre sottovalutare i ransomware, malware che richiedono un riscatto agli utenti colpiti, e lo stesso vale per gli attacchi DDoS in grado di paralizzare il business delle imprese.

Chiunque può essere attaccato, tanto che la questione non è più “se” si verrà violati ma il “quando” –  ha dichiarato Fabio Degli Esposti, Direttore ICT di SEA Aeroporti di Milano Linate e Malpensa in occasione di Sicurezza & Oltre, evento tenutosi ieri a Milano ed organizzato da ANIE Sicurezza e Assosicurezza  – Diversamente da quanto accadeva in passato, dove la probabilità di essere colpiti da un attacco era imputabile a determinati comportamenti tenuti sul web, oggi è invece sufficiente essere online per diventare vittime dei cyber criminali”.

La cosa preoccupante è che non sempre ne si è consapevoli: 2/3 degli incidenti non è stato neppure rilevato dalle vittime. Il Direttore dell’FBI ha infatti recentemente dichiarato che esistono due tipi di organizzazioni: quelle che hanno subito almeno un attacco informatico e quelle che non lo hanno ancora scoperto. Un fattore questo che è imputabile, oltre che all’abilità degli hacker, ad un gravissimo errore commesso da molte imprese, ossia quello di ritenersi poco interessanti per i criminali informatici.

E i danni subiti sono spesso molto gravi, alle volte letali. Secondo uno studio del 2015 il costo medio sostenuto dalle aziende per rimediare ad una violazione della sicurezza informatica ammontava a 492 mila euro per le aziende di grandi dimensioni e a 33 mila euro per le piccole e medie imprese.

Ciò che può mettere in ginocchio un’azienda colpita sono però i danni reputazionali, il cui importo è spesso incalcolabile – ha spiegato Pierluigi Perri, Professore presso l’Università degli Studi di Milano. – La mancanza di fiducia dei consumatori provoca infatti gravissime conseguenze sul business aziendale, con gli utenti che si rivolgono ad altre realtà per acquistare beni o servizi simili”.

Ne consegue che la Security diventa un vero tema di business e non un fattore esclusivo dell’IT. E il discorso si può ulteriormente allargare al di fuori dell’azienda: “La sicurezza non è più un problema solo per chi subisce un attacco – continua  Perri –  In realtà si crea una perturbazione sistemica in grado di minare l’attività produttiva di un intero Paese. Basti ad esempio pensare alla perdita di fiducia relativa alla security di un aeroporto: non ne risente solo lo scalo e le compagnie aeree, ma tutto il turismo. La sicurezza rappresenta quindi un fattore di esternalità positiva se salvaguardata, altrimenti negativa”.

Le aziende iniziano quindi a considerare la tematica non più un mero fattore di costo verso cui allocare budget residuali o una spesa da minimizzare, ma un vero e proprio driver di valore.  Il problema è che ancora troppo spesso questo viene capito dopo una violazione subita:

Non si può chiudere la stalla quando i buoi sono scappati. – ha spiegato Perri.  – E’ il caso di JP Morgan che, dopo il data breach subito nel 2014, ha annunciato di spendere 250 milioni di dollari l’anno per migliorare la propria strategia di sicurezza”.

Le imprese devono quindi cambiare il proprio approccio alla Security adottando una visione olistica: le funzioni aziendali non possono più operare a compartimenti stagni, come ancora troppo spesso capita. E lo stesso vale per il disallineamento tra vertici aziendali e i tecnici. Non bastano quindi investimenti rivolti solo sulla tecnologia, ma è opportuno instaurare a livello dell’intera organizzazione un concetto di sicurezza allargato con persone formate, sistemi cognitivi e utilizzo degli analytics. Sono infatti questi fattori a fare la differenza contro il cybercrime, ma che risultano ancora un po’ troppo “acerbi”. Mancano infatti le competenze adeguate e la vera potenza dei Big Data non è ancora stata sfruttata. Due elementi questi che le imprese cercheranno di migliorare così da aumentare la loro efficacia nella continua lotta contro i criminali informatici. In questa direzione, un ruolo decisivo sarà quello giocato dal data protection officer, figura aziendale introdotta dal Regolamento generale sulla protezione dei dati 2016/679. Egli avrà il compito di osservare, valutare e organizzare la gestione del trattamento di dati personali all’interno di un’azienda, armonizzando così il tutto.

Un compito di certo non facile perché i confini aziendali da proteggere si stanno sgretolando a causa dell’arrivo dell’Internet of Things: entro il 2020 sono attesi 50 miliardi di dispositivi connessi.

Il futuro non sarà più quello di una volta.