Ragionare sulla sicurezza in ambito informatico è imprescindibile. Stiamo vivendo un momento storico di profonda e inarrestabile evoluzione tecnologica. Tutta l’infrastruttura digitale sulla quale, ad oggi, si basa non solo l’intera vita industriale e professionale, ma anche quella privata, è pervasa dall’aspetto ICT. E in futuro, lo sarà sempre di più. Il tema della cybersecurity diviene quindi argomento trasversale per tutti i settori. Un’importanza strategica confermata anche dall’attenzione attribuitale nel piano PNRR e, più in generale, in tutta la serie di investimenti europei pianificati per il post-pandemia.
Negli ultimi due anni il numero di attacchi cyber commessi e andati a buon fine è cresciuto in maniera esponenziale perché si è generato un aumento nell’utilizzo di piattaforme digitali senza la giusta conoscenza dei rischi che ne conseguono. La scarsa consapevolezza di quanto la connettività, l’informatica e i software siano diventati una parte integrante della nostra quotidianità lavorativa, e non solo, è il punto fondamentale da cui partire per affrontare il netto cambio di paradigma con cui si deve affrontare la tematica.
Fortunatamente le aziende non sono state lasciate senza guida in questa sfida: la Comunità Europea ha varato regolamenti e direttive che, recepite dai Governi, hanno tracciato la strada da seguire. La Direttiva NIS definisce un costrutto normativo che impone alle aziende l’obiettivo di raggiungere un livello di sicurezza coerente con l’entità del servizio o prodotto erogato, le dimensioni e il volume dei dati sensibili gestiti. Il legislatore, di fatto, non offre linee guida sul “come” raggiungere il determinato livello di sicurezza, ma impone alle Aziende un processo di auto valutazione.
Le aziende sono quindi chiamate a svolgere un’attenta e articolata analisi sui loro sistemi, le infrastrutture e le procedure già presenti, lavorando, proprio in prima battuta, sull’aumento di consapevolezza riguardo il livello di partenza.
In questo nuovo contesto, è implicito nella normativa stessa la necessità di affidarsi a esperti del settore e di collaborare, sin dai primi momenti di progettazione, definizione e implementazione, con tutti gli attori coinvolti.
Interessante conseguenza al nuovo approccio delineato è la distribuzione di responsabilità lungo l’intera filiera: tutta la supply chain a partire dal vendor, passando dal distributore e dal consulente per arrivare al cliente finale, è costituita da stakeholder responsabili per eventuali incidenti. Si attesta quindi a livello normativo l’assunzione di responsabilità rispetto a quello che viene introdotto sul mercato. Non è più ammesso lo scarico di responsabilità su altri soggetti, tutti sono coinvolti.
Una seconda positiva conseguenza del recepimento delle direttive europee a livello nazionale è il progressivo innalzamento degli standard qualitativi di sicurezza che tutte le aziende saranno chiamate a rispettare. Se in maniera formale la Direttiva NIS si focalizza sulle aziende definite infrastrutture critiche (cioè le realtà private o parzialmente tali che erogano servizi essenziali per la comunità, quali, ad esempio, la potalizzazione dell’acqua, la produzione e distribuzione di energia elettrica, i trasporti, le telecomunicazioni), l’adeguamento dei criteri rispetto alla legislazione vigente imporrà una nuova norma di mercato. Tutte le realtà medio-piccole dovranno infatti parametrarsi sui nuovi standard per rimanere competitivi sul mercato e continuare a collaborare con le grandi società che seguiranno procedure, metodologie e linee guida come stabilito appunto dalla norma.
Un approccio concreto
Adeguarsi a questo nuovo paradigma che non è solo normativo ma anche culturale e sociale, significa partire dalla consapevolezza di non sapere, di doversi formare e informare, affidandosi ad un contesto di professionisti. Ma più in concreto cosa deve fare un’azienda per cercare di tutelare sé stessa e i propri clienti?
“È fondamentale acquisire consapevolezza e diffondere anche il cambiamento culturale comprendendo quanto la Cyber sia un tema presente costantemente nel nostro quotidiano, al di là di quanto percepiamo, e capire quanto la sicurezza apporti importanti benefici e vantaggi. Non si dovrà più pensare ad essa solo come ad un noioso adempimento. Altrettanto importante è la formazione. È ormai necessario insegnare alle persone come identificare cosa proteggere, le minacce plausibili, le possibili vulnerabilità e quindi la probabilità di subire una violazione e il costo atteso di eventi negativi o spiacevoli. Infine, fondamentale è far capire anche alle PMI la necessità di affidarsi a dei professionisti competenti che accompagnino le aziende in un percorso virtuoso verso la sicurezza diventando dei partner di fiducia nel lungo termine” spiega Andrea Monteleone, National Sales Manager per l’Italia di Axis Communications.
Axis Communications, società che offre soluzioni tecnologiche intelligenti basate su piattaforme aperte, flessibili e totalmente adattabili a ogni ambiente ed esigenza, lavora a stretto contatto con clienti e partner per interpretare e dare priorità alla risoluzione delle vulnerabilità, sviluppando un piano d’azione strategico e consapevole: da oltre 30 anni la società si propone di creare soluzioni sicure e adotta un approccio collaborativo per verificare che i partner e i clienti abbiano le informazioni e gli strumenti giusti per reagire a minacce che cambiano di continuo, all’insegna di una filosofia di ‘Open Platform’.
Focus sulla sicurezza
La più grande vulnerabilità in termini di sicurezza informatica è legata alla mancanza di consapevolezza, regolamenti, procedure e processi all’interno delle organizzazioni. Bisogna definirli, metterli in campo e accertarsi della maturità informatica dei propri fornitori prima di valutare i loro prodotti o servizi. Tra compiti di un partner come Axis Communications emerge con forza anche quello di affiancare le aziende nell’adeguamento alle nuove normative e alle best practice internazionali in materia.
Indispensabile poi una formazione continua del personale in capo all’azienda sulle probabili vulnerabilità, in modo da poterle individuare il prima possibile e il modo migliore per riuscirci è avere politiche chiare per la gestione degli account, password e dispositivi. Anche la gestione del ciclo di vita del dispositivo è particolarmente importante: solo una manutenzione proattiva, basata su manutenzioni cicliche dei sistemi e dei dispositivi, capace di mantenerli sempre aggiornati, può garantire stabilità e sicurezza a un sistema.
Basterà tutto questo? Come abbiamo visto nessuno è immune agli attacchi ed è tale la capacità dei criminali informatici di riconoscere e sfruttare le debolezze da richiedere una sempre maggiore attenzione, anche da parte di aziende di piccole e medie dimensioni.
Ma utilizzare gli strumenti che oggi sono effettivamente a disposizione delle aziende per gestire al meglio la questione della sicurezza stando al passo con la tecnologia, le normative e tenendo un occhio sempre aperto sul futuro, è la strada giusta da percorrere.
