L’emergenza Coronavirus e la “commutazione” forzata verso smart working ed e-learning, che resteranno forme convalidate ben oltre la fase2 – hanno portato aziende ed enti a fare scelte “emergenziali”, per garantire il massimo livello di operatività in un tempo estremamente ridotto.
Colmare gap tecnici, di processo ed anche “culturali” in ambito aziendale – ma anche personale – in pochi giorni e senza un adeguato supporto consulenziale e tecnologico, ha aperto nuovi fronti sulla sicurezza informatica e la privacy.
Che rischio comporta e ha comportato per le aziende questa repentina rivoluzione digital per la continuità del business e per la confidenzialità dei dati, personali e aziendali?
A rispondere – per la nostra Rubrica MOZAYK – Alessandro Bellato, Co-founder & Owner di Nethive S.r.l., azienda padovana – partner di Atlantis Next, la consociata tecnologica di Phoenix Group, guidata da Giovanna Saraconi – attiva nei servizi di Cyber Security Gap Assessment, valutazione Cyber risk e gestione vulnerabilità, protezione perimetrale di nuova generazione, Security Awareness Training e Log Management.
«Con questa crisi sanitaria improvvisa, abbiamo dovuto prendere in poche ore – sia a livello aziendale, sia sul piano personale – decisioni che avrebbero richiesto mesi, investimenti e tanti approfondimenti. Molte le “falle” e i potenziali errori cui dare maggiore attenzione. Innanzitutto quello di non consentire l’uso di dispositivi personali per fini aziendali (ad esempio mediante accessi VPN), qualora l’azienda non potesse garantire un livello minimo di sicurezza su tali dispositivi, ma anche utilizzare con leggerezza soluzioni “consumer” come servizi di cloud storage per lavorare dati aziendali.
Riporto l’esempio che abbiamo potuto seguire tutti da vicino: ovvero il successo della piattaforma gratuita per videoconferenze Zoom, con gli iniziali problemi legati alla privacy dei propri utenti. Problemi che sono stati risolti “in corsa” ma che hanno portato molte aziende (Google in primis) a vietare l’uso di questa soluzione per fini aziendali.
Anche e soprattutto sul fronte privacy è sempre vero il detto “se non lo paghi, il prodotto sei tu”».
La Ricerca dell’Osservatorio Information Security & Privacy della School Management del Politecnico di Milano pubblicata a febbraio 2020 attesta, per il terzo anno consecutivo, una crescita del mercato dell’Information Security in Italia. Nel 2019 il suo valore sale a 1,3 miliardi di euro, in crescita dell’11% circa rispetto al 2018: un traguardo raggiunto, in particolare, dalle grandi aziende ma non dalle PMI.
Come colmare questo ritardo nelle Piccole e Medie Imprese, gap che è anche sul fronte normativo?
«In primis serve un passo che definirei “culturale” legato alla capacità di valutare il rischio da parte dei manager delle PMI.
Ogni imprenditore e manager delle PMI italiane è molto bravo a fare valutazioni del rischio tipiche del proprio business e mercato: ad esempio legate alla concorrenza, a piani di investimenti in produzione, rete vendita, etc. Mentre non viene ancora percepito in maniera adeguata il rischio Cyber: oggi, considerando le probabilità, è più probabile che un cyber attack (come un comune attacco ramsonware) vada ad impattare sulla business continuity dell’azienda, piuttosto che incendio o un terremoto. Purtroppo vedo troppo frequentemente PMI devastate da incidenti informatici che potrebbero essere evitati abbastanza facilmente.
Un adeguamento normativo può spingere queste aziende a tenere in giusta considerazione anche questi “nuovi” rischi. Penso inoltre che sia fondamentale associare agli interventi normativi anche interventi fiscali che incentivino questi investimenti virtuosi».
Come è cambiata la richiesta di sicurezza e protezione dei dati con il piano Industry 4.0 e la digital trasformation?
La trasformazione digitale e l’industry 4.0 stanno progressivamente cambiando sia la percezione del rischio che gli investimenti. Per percezione intendo la consapevolezza che il business dipende sempre più dalla disponibilità delle informazioni e dei sistemi che le rendono “fruibili”. Assistiamo ad una convergenza tra tecnologia operativa (OT) e tecnologia delle informazioni (IT) che fonde produzione e sistemi informativi cambiando giorno dopo giorno il modo di lavorare ed anche l’assetto sociale. Questa trasformazione pone nuove sfide sul fronte security come ad esempio la protezione di sistemi produttivi o apparati IoT che fino a qualche anno fa erano isolati ed oggi sono “per definizione interconnessi o addirittura esposti direttamente o indirettamente su Internet”. Sono necessarie nuove tecnologie di protezione e nuove competenze.
Cyber security e carenza di figure specialistiche. Molte volte è il “fattore umano” a mettere a repentaglio la sicurezza. Come creare consapevolezza e cultura sul “pericolo informatico”?
La carenza di competenze e figure specializzate è stata “certificata” da molte fonti autorevoli: molte ricerche stimano che entro 3 anni ci sarà un “gap” a livello mondiale di più di 3 milioni di figure specializzate, in Europa mancheranno circa 150.000 professionisti. Per fare una battuta: è un’informazione da passare a chi ha figli che stanno cercando un percorso professionale. Concordo che sia il fattore umano il vero anello debole della catena. Penso che l’intervento “culturale” debba essere fatto sia dalle persone che dalle aziende. Vedo grandi professionisti nelle rispettive aree che sospendono ogni razionalità davanti agli strumenti informatici: dal mio punto di vista essere un professionista richiede uno sforzo anche a livello personale nel capire gli strumenti che oggi si usano per comunicare e lavorare ed ai rischi che possono comportare. Questo vale anche nella sfera privata: se posto ogni 2 ore foto della vacanza in corso sul mio profilo Instagram pubblico, non posso meravigliarmi se miracolosamente i ladri sanno quando non sono a casa.
Le aziende devono investire in formazione “intelligente”: contenuti che siano “interessanti” per le persone (anche a livello personale) e forme di verifica del livello di apprendimento. Non dico di impedire l’uso della posta elettronica aziendale a chi non capisce appieno i rischi (anche se ogni tanto mi piacerebbe.) ma dal mio punto di vista l’azienda deve accertarsi che la formazione sia stata “metabolizzata” dal personale. Ad esempio ti spiego cos’è il phishing e quali rischi comporta, per poi verificare quante mail di finto phishing apri con leggerezza.
In sintesi la formazione è il modo più efficace per le aziende di assicurarsi che i loro investimenti in cyber security non siano vanificati.
Forte dell’esperienza di NETHIVE nelle Telecomunicazioni ATLANTIS NEXT – consociata tecnologica di Phoenix Group – offre alle imprese servizi di connettività, IT e Servizi operativi in outsourcing. Quale la specificità dei vostri servizi?
Partiamo spesso dall’aiutare le aziende ad effettuare una valutazione del livello di Cyber Risk rispetto a degli standard di riferimento. C’è veramente molto “know how” consolidato nel mercato e non ha senso reinventarsi la ruota. Queste attività consulenziali di Cyber Security Gap Assessment aiutato le aziende ad avere evidenza delle aree di rischio più significative o trascurate per vari motivi (storici, di conoscenza, etc). In seno a questa attività di consulenza “neutrale” vengono in primis identificate azioni di rimedio che possano essere attuate con gli strumenti a disposizione dell’azienda o con interventi organizzativi.
Spesso l’area più scoperta è definire e soprattutto documentare obiettivi di sicurezza informatica, regole e processi di verifica. Anche grandi aziende lasciano troppo alla tradizione “orale” e questo rappresenta la vera area grigia. In seconda istanza, dopo che l’azienda (e specialmente il suo management) ha metabolizzato il fabbisogno di un percorso di miglioramento, vengono proposti dei servizi di Cyber Security. I più frequenti ed importanti sono:
- Valutazione del cyber risk e gestione delle vulnerabilità
- Protezione perimetrale di nuova generazione
- Security Awareness Training
- Log Management
