Abbiamo intervistato Lisa Dolcini, Marketing and Communication Manager di Trend Micro per delineare come evolverà il prossimo anno la sicurezza informatica e come le imprese dovranno affrontare al meglio le minacce.

Quali sono le minacce più gravi alle quali le imprese dovranno prestare attenzione nel 2020?

L’anno prossimo le imprese continueranno a essere bersagliate da attacchi cyber criminali sempre più raffinati, che come sempre saranno guidati dalle logiche finanziarie della monetizzazione. Le nuove tecnologie saranno di supporto agli attacchi, ma fungeranno anche da obiettivo. In questo senso, innovazioni come l’intelligenza artificiale saranno utilizzate per architettare truffe Business Email Compromise sempre più difficili da scoprire, ad esempio rintracciando online campioni vocali di figure manageriali e utilizzandoli in finte telefonate per architettare spostamenti di denaro. Altre tecnologie come l’IoT e soprattutto l’IIoT è probabile che salgano poi agli onori delle cronache come nuovi obiettivi degli attacchi cyber, considerato che la loro adozione sia nelle vite private che nei luoghi di lavoro aumenterà sensibilmente anche grazie al 5G. Le aziende dovranno quindi fare attenzione a tutto quello che è connesso e che è smart, coprendo anche ambiti OT di cui prima non si preoccupavano.

Le aziende sono consapevoli di questi rischi?

La percezione della security come tassello importante e abilitatore del business è aumentata negli ultimi anni. Ma c’è ancora molto da fare, soprattutto nelle aziende più tradizionali. Le realtà 2.0 sono più consapevoli, prendono in seria considerazione gli eventuali rischi e si proteggono in maniera intelligente, le altre faticano un po’ di più per progettare e costruire una strategia di security su misura per le proprie infrastrutture e magari rimangono ancorati a logiche e sistemi legacy, che rendono le proprie aziende vulnerabili. In generale, le imprese devono accettare il fatto che la security non debba rispondere solo a esigenze economiche, ma essere un investimento necessario e su misura per la propria organizzazione, sia da un punto di vista tecnologico che della formazione del personale.

Gli investimenti in security sono sufficienti?

È difficile rispondere a una domanda del genere. Come parametri potremmo utilizzare la consapevolezza e la conoscenza del rischio nelle aziende. Sicuramente è aumentato il livello di consapevolezza ma non la profonda conoscenza del rischio e questo ultimo aspetto è quello che porta le aziende a non valutare correttamente i budget da dedicare alla protezione. Questo giustifica il fatto che gli investimenti siano aumentati, ma non in modo sufficiente per poter affrontare tutte le nuove minacce che colpiscono l’organizzazione, dovute anche all’implementazione di nuove tecnologie o metodologie di sviluppo, che la parte di business richiede senza effettuare una pre-valutazione degli aspetti di sicurezza.

Il limite maggiore è nella carenza di investimenti o nella mancanza di competenze all’interno delle aziende?    

Forse potremmo azzardare un 50/50. Per quanto riguarda gli investimenti, è chiaro che le aziende devono vedere la security non come una commodity ma come una parte integrante e abilitante del business Oggi tutto è connesso e la security deve essere ovunque. Esistono anche importanti normative come il GDPR che infliggono pesanti multe a chi non rispetta la sicurezza dei dati. Gli investimenti vanno fatti e in maniera oculata, appoggiandosi a dei professionisti e prevedendo una difesa totale della propria organizzazione. Ci deve essere un progetto integrato e multilivello, non una serie di azioni per mettere toppe a eventuali aree scoperte. All’interno del progetto, una parte importante riguarda poi le competenze, sia dal lato del Team IT – che deve essere supportato e aggiornato costantemente sia da un punto di vista delle soluzioni che delle skills – che da quello del personale, che va formato e preparato ad affrontare i possibili rischi o allegati pericolosi che colpiranno l’azienda. Maggiori competenze porteranno poi a investimenti consapevoli ed efficaci.