“Ci sono due tipi di aziende: quelle che sono state hackerate e quelle che non sanno ancora di essere state attaccate.”
NS12 è PMI Innovativa
Cybersecurity: PMI e microimprese ancora nel mirino degli attacchi
Con le parole di John Chambers, ex CEO Cisco, introduciamo uno dei temi più caldi degli ultimi anni nell’ambito IT: Cybersecurity.
L’emergenza sanitaria e i mesi di lockdown hanno messo a dura prova la sicurezza informatica nelle organizzazioni pubbliche e private che, nella maggior parte dei casi, si sono trovate impreparate a gestire la forza lavoro da remoto e i rischi connessi. Gli attacchi informatici degli hacker nel 2020 si sono infatti moltiplicati, andando a colpire in primis le pubbliche amministrazioni, ospedali e aziende farmaceutiche.
In un mondo in cui lo scambio di dati e informazioni è in crescita esponenziale, è indiscutibile che la Cybersecurity sia ormai diventata una priorità per le aziende di qualunque dimensione e settore.
Security know-how
I comportamenti inconsapevoli dei dipendenti rappresentano oggi il principale elemento di vulnerabilità delle aziende. Per una maggiore consapevolezza dei rischi legati alla Cybersecurity, le tecnologie da sole non sono sufficienti: servono programmi di awareness e di formazione specifica.
Come evidenziato dall’ osservatorio di NetConsulting cube “Barometro Cybersecurity 2021”, nel contesto attuale le priorità che guidano le strategie delle aziende italiane in ambito Cybersecurity sono fortemente focalizzate sull’esigenza di formare il personale sulle tematiche di sicurezza e, più in generale, di aumentarne la consapevolezza in modo da ridurre il rischio che i dipendenti assumano comportamenti potenzialmente rischiosi.
Molto importanti appaiono anche le priorità finalizzate al test e alla valutazione delle vulnerabilità delle infrastrutture ICT delle aziende, in forte crescita rispetto alla rilevazione del 2020, riconoscendo come una delle vie di protezione più efficaci sia rappresentata dalla capacità di ridurre al minimo la finestra di esposizione al rischio.
Se molti tipi di cyber attacchi si manifestano immediatamente, altri tendono a rimanere invisibili per poter studiare i sistemi e sferrare l’attacco quando raggiungono la conoscenza completa delle vulnerabilità tecnologiche della propria vittima. Secondo statistiche, il tempo medio di scoperta – la cosiddetta “finestra di compromissione” – è superiore ai 200 giorni.
Un errore comune, soprattutto nel settore delle piccole e medie imprese, è quello di pensare di non essere obiettivo di attacchi informatici e di non essere appetibili per la minore esposizione rispetto alle realtà più grandi. In realtà, le PMI sono obiettivi facili che garantiscono agli attaccanti un ritorno di investimento sicuro.
Ad oggi i danni subiti a seguito delle attività cybercriminali rappresentano un valore dieci volte superiore rispetto a quello degli attuali investimenti fatti in sicurezza informatica che nel nostro Paese sono ancora largamente insufficienti.
Perché credere che la formazione possa fare la differenza?
Spesso nelle aziende troviamo uno squilibrio formativo tra chi conosce profondamente le misure di difesa e chi invece possiede un bagaglio minimo di esperienza nel settore. Unificare le conoscenze tramite una formazione per tutti i dipendenti, sia per gli esperti sia per i non addetti ai lavori, che renda omogeneo il sapere e permetta di parlare un linguaggio comune, è importante per non farsi cogliere mai impreparati.
Investire sul fattore umano per trasformarlo nella prima linea di difesa contro il Cyber Crime è l’elemento chiave affinché tutti i dipendenti possano sentirsi artefici della sicurezza della propria organizzazione.
Attualmente ci troviamo in uno scenario complesso dominato da nuove tecnologie in cui la sicurezza deve essere più che una semplice riflessione. Diversi studi dimostrano che il comportamento umano e la percezione della sicurezza nello spazio informatico sono diversi e spesso rischiosi. Questo tipo di comportamenti dovrebbe spingere le organizzazioni alla costruzione immediata di un piano per migliorare la consapevolezza su questo tema.
Le aziende dovrebbero condurre campagne di sensibilizzazione che coinvolgano dipendenti e clienti, incoraggiando una modifica del comportamento digitale sia in ufficio che a casa. L’obiettivo finale è che le persone siano in grado di comprendere e seguire le policy aziendali, prevenire e segnalare incidenti e contribuire alla condivisione delle informazioni.
La trasformazione digitale richiede un ecosistema sicuro per offrirci il massimo vantaggio. Ma dobbiamo anche colmare il divario culturale creato da questi strumenti.
L’aumento delle misure di sicurezza e la realizzazione di un’architettura digitale devono essere priorità per tutti i paesi e devono essere priorità nelle agende dei governi.
La diffusione di soluzioni all’avanguardia e di programmi di Security Awareness pensati per tutti i dipendenti sarà la carta vincente affinché il know-how aziendale sia sempre tutelato.
