Come noto, il panorama della cyber security è in progressivo stato di “ammaloramento”. L’Italia versa in condizioni critiche per numero di attacchi subiti. Correre ai ripari significa non solo implementare le tecnologie giuste, ma puntare soprattutto sulla componente umana, avvalendosi di professionisti, favorendo l’awareness e incentivando la formazione.
Luca Spina, CEO della società Bioss specializzata in sicurezza informatica, racconta come valorizzare il contributo delle persone nell’attuare una strategia difensiva davvero efficace.
Indice degli argomenti
Il panorama attuale della sicurezza informatica
“Come riporta il Clusit – esordisce Spina – il 2022 ha visto un’impennata degli attacchi informatici. L’Italia è ai primi posti nella classifica mondiale degli Stati più colpiti: rispetto all’anno precedente, il numero di attacchi nel nostro Paese è cresciuto con percentuali nettamente superiori rispetto alla media globale. A mio avviso, la situazione nazionale così preoccupante è conseguenza diretta del nostro tessuto imprenditoriale, caratterizzato da un’alta concentrazione di PMI. Infatti le imprese di piccole e medie dimensioni, rispetto alle aziende più grandi e strutturate, investono meno in cyber security, sia perché dispongono di risorse inferiori sia perché non hanno sviluppato un’analoga sensibilità. In molte PMI italiane, infatti, la cultura in materia di sicurezza informatica è ancora scarsa”.
Come osserva Spina, al boom degli attacchi ha influito anche il conflitto russo-ucraino, che ha alimentato la cyber war tra i due Stati rivali coinvolgendo anche i Paesi schierati. Inoltre, in un quadro così instabile dal punto di geopolitico e informatico, i cyber criminali “privati”, che agiscono esclusivamente a scopo di lucro, sfruttano l’occasione per intensificare le azioni malevole.
“Ancora non esistono statistiche ufficiali per il 2023 – aggiunge il CEO – ma mi aspetto uno scenario altrettanto preoccupante rispetto allo scorso anno”.
Perché il fattore umano è decisivo nella difesa contro le minacce
Secondo Spina, per combattere una situazione ormai drammatica, competenza e consapevolezza sono le armi decisive.
“Nella lotta contro gli hacker – suggerisce – il fattore umano è fondamentale per due ordini di motivi. Innanzitutto, per difendersi da minacce sempre più sofisticate, bisogna ingaggiare professionisti della cyber security altrettanto esperti. Sembra di giocare a guardie e ladri: i criminali affinano continuamente le tecniche di attacco, mentre gli specialisti della sicurezza rispondono con strategie e tecnologie di difesa sempre più evolute. L’altra ragione per cui il fattore umano è cruciale nelle strategie di sicurezza IT va ricercata nella prospettiva dell’awareness”.
L’azienda infatti può dispiegare gli strumenti di sicurezza più all’avanguardia, ma il sistema risulta fallace se i dipendenti non sono consapevoli delle minacce informatiche e adottano comportamenti rischiosi.
“Molto spesso – spiega l’AD – la possibilità di inoculare un virus e rubare le credenziali di accesso deriva dall’inesperienza o dall’ignoranza informatica delle persone. Pertanto, la formazione in materia di cyber security dovrebbe essere un imperativo per qualsiasi organizzazione, nonostante comporti una certa volontà di spesa. Comunque è meglio investire per educare i dipendenti anziché trovarsi a pagare riscatti, perdere informazioni o subire fermi operativi”.
Cyber security, come maturare le competenze adeguate
Tuttavia, la capacità di definire una strategia completa di cyber security non è banale, ma richiede l’intervento di figure specializzate, che spesso mancano in azienda. Ecco perché affidarsi a un consulente esterno può essere un’alternativa valida. Ma come si selezione il partner?
“Per costruire un sistema di sicurezza efficace – sostiene Spina – bisogna innanzitutto scegliere le soluzioni più adatte tra le centinaia disponibili sul mercato. Tuttavia, la tecnologia da sola non basta, ma è la componente umana a decretare la bontà della linea difensiva. Servono insomma competenze ed esperienza. Nella maggioranza dei casi, il core business aziendale non è la cybersecurity, pertanto si raccomanda l’outsourcing dei servizi di sicurezza”.
Secondo l’amministratore delegato, oltre a scegliere la tecnologia ottimale in base alle esigenze specifiche, bisogna effettuare correttamente anche la partner selection, valutando una serie di referenze.
“Innanzitutto – prosegue – bisogna appurare le competenze e le professionalità interne del fornitore, nonché la capacità di indirizzare il cliente verso la soluzione ideale, adattandola come un sarto alle necessità specifiche. Quindi si valutano le caratteristiche strutturali e organizzative. Fondamentale è la presenza del SoC, ovvero del Security Operation Center, per avere a disposizione personale qualificato in modalità 24×7. Oltre a garantire la tempestività degli interventi, il team di esperti permette di ottimizzare e valorizzare le soluzioni di sicurezza implementate. Infine è importante che il partner sia strutturato per erogare piani di formazione per preparare i dipendenti a riconoscere le minacce ed evitare rischi”.
Il valore dell’expertise in ambito cyber intelligence e PA
Nel panorama dei consulenti specializzati in cyber security, si inserisce dallo scorso febbraio anche Bioss, azienda giovane che tuttavia può contare sull’expertise di Movia, il gruppo di appartenenza.
“Siamo una startup solo per data di fondazione – puntualizza Spina – ma ereditiamo tutta una serie di competenze ed esperienze dalla società madre, che fornisce servizi di cyber intelligence anche al governo italiano e in particolare al Ministero della Giustizia. Bioss intende portare il know-how maturato in ambito Pubblica Amministrazione anche a supporto delle aziende private. Tra i nostri differenziali, siamo strutturati con un SoC che offre assistenza 24 ore al giorno, 7 giorni a settimana. Inoltre, abbiamo capacità di sviluppo, quindi possiamo declinare le soluzioni tecnologiche di mercato con personalizzazioni ad hoc per il cliente. Infine, eroghiamo attività di formazione”.
Il target identificato da Bioss è costituito da aziende di piccole e medie dimensioni, con un fatturato massimo di cento milioni di euro all’anno. Nei mesi precedenti, l’azienda si è impegnata nella messa a punto della struttura organizzativa e dell’offerta commerciale; da settembre, è ufficialmente partita con le attività di promozione sul mercato.
