A cura di Laura Del Rosario
Lo scenario in ambito security è preoccupante: a fronte di minacce che si fanno sempre più frequenti, grandi e ubique, una risposta decisa da parte degli stakeholders tarda ad arrivare. Ma se ormai l’Ict è da tutte le parti ed è un dato di fatto che dove c’è un sistema informatico prima o poi ci sarà un attacco da parte dei cybercriminali, diventa fondamentale affrontare il problema di come cercare di limitare i danni. Soprattutto perché i nuovi trend emergenti, ormai diventati solide realtà, come il Cloud, l’IoT, i Social Media e la Mobility, esasperano ulteriormente il problema introducendo nuove complessità cui è necessario trovare una risposta in tempi rapidi e farlo con prassi che sono diverse da quelle tradizionali, che ormai appaiono in tutta la loro inadeguatezza.
E’ vero che gli investimenti in sicurezza informatica sono andati aumentando nel corso degli anni (saliti dell’8% nel 2014 a livello globale, nonostante la crisi economica, secondo il Rapporto Clusit 2015), ma è altrettanto vero che i danni derivanti da attacchi informatici solo in Italia ammontano a circa 9 miliardi di euro, un dato che fa capire in maniera chiara che forse il problema della sicurezza non è affrontato nella maniera più adeguata. Certo la sfida a cui ci troviamo di fronte è molto insidiosa: i cyber criminali si vanno sempre più trasformando in gruppi organizzati che spendono pochi dollari per generare criticità a cui invece le aziende dovranno rispondere con investimenti molto più grandi, ma la guerra non può darsi persa in partenza.
Un primo passo deve arrivare necessariamente da una presa d’atto da parte di tutti i responsabili (non solo in ambito Ict) del fatto che le attuali politiche di gestione del rischio informatico, quando esistenti, si sono rivelate del tutto inadeguate e della necessità di sostituirle con modelli nuovi, contemporaneamente innalzando gli investimenti in formazione, processi e strumenti deputati alla sicurezza cybernetica in un’ottica rinnovata.
La sicurezza informatica andrebbe posta al centro e a monte di qualsiasi progetto che includa l’utilizzo di sistemi ICT: solo così si potrebbe evitare il sostanziarsi di gravi danni economici, violazioni della privacy su larga scala e furti di proprietà.
Le principali contromisure da attuare comprendono processi e tecnologie tradizionali ma che devono essere sfruttati al massimo delle loro potenzialità, ma soprattutto devono fare riferimento a strumenti innovativi: strumenti per monitorare le infrastrutture in modo puntuale e in tempo reale correlando in modo significativo gli eventi, servizi di Cyber-Intelligence e di Early Warning utili a prevenire le minacce o quantomeno ad innalzare il livello di allerta nell’imminenza di un attacco, processi di Incident Handling sistematici, efficaci e consistenti, sistemi di Business Continuity adeguati ed opportunamente testati, procedure concrete per la gestione della crisi e così via.
Quello che ci vuole, alla base di tutto questo, sono ovviamente cospicue risorse economiche, forti competenze (altro problema rilevante perché al momento sul mercato scarseggia la presenza di figure davvero preparate) ed un impegno di tutti i portatori di interesse ad ogni livello.
Il Rapporto Clusit suggerisce che per affrontare uno scenario di questo genere, l’unico modo per prepararsi all’impatto è quello di adottare logiche di “Cyber Resilienza”, che fa convergere compliance e cyber security, governance e risk management, cyber intelligence e crisis management, attività di prevenzione e di reazione rapida, cooperazione tra pubblico e privato ed information sharing tra tutte le parti coinvolte.
Quello che è importante è che il concetto di Cyber Resilienza non si trasformi nell’ennesimo “mantra” commerciale, ma che invece ponga le basi per un effettivo cambiamento che includa tutti i soggetti, non solo le grandi aziende, in un processo che correli tutte le variabili e le azioni di cui abbiamo parlato sopra.
Solo così si potrà uscire dalla “trappola” dell’insicurezza informatica: lavorare sulla consapevolezza, riallocare le risorse economiche ed umane, valutare i rischi in maniera puntuale e ottimizzare la spesa in sicurezza It, che non deve crescere solo in quantità quanto piuttosto in qualità ed efficacia.
Basterà tutto questo?
