C’è ancora un grande problema tra le PMI che è quello di comprendere gli effetti positivi sul proprio business di un solido programma di sicurezza delle proprie informazioni e asset.
È opinione comune tra i proprietari d’azienda che mettere a terra processi e procedure di sicurezza sono un dispendio economico, ma soprattutto qualcosa che rallenta o che addirittura blocca l’operatività aziendale.
Il Clusit ci avverte, nel suo rapporto presentato ufficialmente a marzo al Security Summit, sull’aumento degli attacchi: +12% nel 2022 e +13% nel 2023 e l’Italia sempre più colpita, passando dal 7,6% del 2022 all’11% del 2023 di attacchi gravi di cui oltre la metà di livello critico elevato.
Nonostante tutti gli avvertimenti, ma ancora di più, tutti gli incidenti di sicurezza a cui assistiamo quasi quotidianamente, la natura umana tende a dare poca importanza alla prevenzione, considerandola, appunto, secondaria.
Ci si accorge dell’importanza, anche se non sempre, quando c’è un incidente, dove spesso i danni sono irreparabili, per eventuali blocchi dei sistemi, perdita di dati, informazioni e quindi perdite ingenti di denaro che per un’azienda di medie, piccole o micro-dimensioni, significa chiudere i battenti o quasi.
Indice degli argomenti
PMI e rischio cyber: nessuno si salva
Questo atteggiamento viene messo in evidenza anche dal primo “Cyber Index Pmi 2023” ovvero uno studio promosso da Confindustria e Assicurazioni Generali con il contributo scientifico degli Osservatori Digital Innovation del Politecnico di Milano e la partnership istituzionale dell’Agenzia per la cybersicurezza nazionale (ACN).
Infatti, i numeri di questo studio ci dicono che la media, piccola e microimpresa è sotto il mirino degli attacchi ma, nonostante ciò, solo il 45% delle 708 PMI intervistate come campione, si legge nel rapporto, riconosce il rischio cyber, ma ancor peggio il 14% ha un approccio strategico in materia e la capacità di valutare il rischio cyber e di mitigarlo. Il 55% è “poco consapevole”, e un 20% si può definire “principiante”.
Motivazioni di scelte poco sicure
Mi è capitato più volte di parlare con imprenditori di piccole e medie dimensioni, che, su richiesta dei propri clienti, hanno bisogno di conformarsi, oggi ancora di più con l’introduzione della Direttiva NIS 2, a determinati parametri di sicurezza e trovarmi di fronte a persone che non hanno alcuna percezione di cosa possa essere un piano di sicurezza e per questo motivo non hanno, oppure hanno ma in limitatissime risorse, un budget destinato a questo settore.
Spesso, proprio perché la definizione di budget di inizio anno viene fatta da persone che non comprendono la tematica o non sono capaci di avere il giusto grado di convincimento nei confronti di chi ha potere decisionale.
Questo mette in evidenza anche un altro aspetto che riguarda la mancanza di figure professionali in azienda con poteri dirigenziali e con competenze specifiche, come ad esempio un CISO, che può dare la visione corretta e indirizzare la Direzione a fare la scelta giusta promuovendo anche percorsi di certificazione che servono a dare quella impostazione di sicurezza a tutto l’organico.
È chiaro che la responsabilità di ciò ricade alla fine sul proprietario d’azienda, ma è anche comprensibile che questa persona sia focalizzata più su altri temi come quelli finanziari ed economici o comunque di business, ma oggi non ci si può più permettere di tralasciare tutti quegli aspetti tecnici di sicurezza che rendono l’azienda un campo aperto per gli attacchi.
PMI e rischio cyber: quali sono i fattori principali
Alla luce di ciò, possiamo comunque provare a individuare quelli che sono i fattori principali che in qualche modo spiegano il perché la PMI faccia ancora fatica a riconoscere i propri rischi cyber.
Inconsapevolezza
Il primo fattore e sicuramente quello più importante, a mio avviso, è la scarsa consapevolezza della sicurezza informatica e delle informazioni che può sembrare la stessa cosa a chi non è del mestiere, ma si può dire, anche se un po’ forzatamente, che una contiene l’altra.
Perché la sicurezza delle informazioni riguarda la salvaguardia di tutti gli asset aziendali, digitali e fisici, che si ottiene anche grazie alle misure di sicurezza informatica adottate sui propri sistemi e network.
Il mondo circostante si muove velocemente e bisogna tenersi aggiornati. Se questo non viene fatto non si riescono a comprendere i nuovi rischi, che si vanno ad aggiungere ai vecchi, i quali non sono mai stati analizzati, sempre per lo stesso motivo e quindi lasciati lì fino al giorno in cui si presentano a creare danni alla propria azienda.
Scarsa comprensione dei processi
Avere dei processi ben definiti e documentati, diminuisce il rischio di errore.
Questo è solo uno dei tanti vantaggi, ma buona parte degli imprenditori fatica a riconoscere i processi aziendali come strumenti di aiuto sulla gestione e controllo con il risultato che quando ci sono non vengono seguiti o vengono aggirati o addirittura è la Direzione stessa che autorizza il personale a bypassare per “velocizzare” l’operazione (non poche volte mi è capitato di vedere questo).
Presunzione con un pizzico di ignoranza
In molte occasioni ho sentito dire dalla dirigenza che le loro misure di sicurezza sono adeguate perché hanno speso una somma di denaro non indifferente e che magari sono stati loro stessi a valutare e a validare le soluzioni più adeguate al loro ecosistema aziendale.
A mio giudizio, non c’è cosa più sbagliata che avere questo tipo di approccio alla sicurezza, principalmente per due motivi:
- Se fossi ai vertici dell’azienda potresti non aver avuto tutto il tempo necessario per le corrette valutazioni.
- Semplicemente e molto probabilmente, non hai le competenze tecniche di dettaglio per poter fare queste scelte.
Chi siede nel board o è a capo di un’azienda, ha il compito di mandare avanti la stessa con la governance e l’organizzazione della struttura e non può occuparsi di tali aspetti pensando di poter affrontare un percorso di sicurezza adeguato solo perché magari in passato si è stati dei tecnici.
Inoltre, spendere tanto non significa sempre avere la soluzione giusta: ho visto in alcuni casi spendere migliaia di euro al mese per dei mega software di protezione ma che alla fine non erano adeguatamente configurati o in alcuni casi non erano per niente necessari.
Le soluzioni da adottare
Prima di tutto il vertice d’azienda deve riconoscere i suoi limiti, che non devono necessariamente riguardare la capacità di comprendere o meno la sicurezza, ma possono semplicemente essere anche solo limiti di tempo.
Dopodiché devono abbandonare l’idea che la sicurezza e la protezione dei propri asset aziendali, inclusa la giusta protezione dei dati personali, sia un costo evitabile e quindi al margine dei piani di budget annuali.
Detto ciò, di seguito alcuni semplici rimedi per poter portare un buon grado di sicurezza all’interno delle proprie aziende.
Il ruolo dei manager
Un’azienda con un numero cospicuo di dipendenti deve pensare di avere all’interno del suo organico un manager competente che possa comprendere e analizzare il contesto, tradurre i requisiti del business in procedure operative e implementare un progetto di sicurezza in base agli obiettivi aziendali in modo che questi possano essere misurabili e dimostrabili alla direzione.
C’è anche l’opzione del Temporary Manager, il quale viene assunto per la durata del progetto e al conseguimento degli obiettivi preposti.
Questa è una valida alternativa per chi non vuole legarsi ad una persona per sempre. Anche se, va detto, che con l’evoluzione della tecnologia e quindi dei rischi di sicurezza, una persona che sia costante all’interno dell’organico porterebbe più benefici anche solo per lo sviluppo della conoscenza di base che manterrebbe e divulgherebbe nel tempo all’interno dell’azienda.
Consulenti esterni
In alternativa, ci si può affidare a esperti consulenti esterni.
Professionisti del settore che, oltre a comprendere ottimamente la materia, possono anche vedere l’azienda con un occhio clinico e privi di preconcetti. Analizzando così lo stato di salute e aiutare la dirigenza ad instaurare processi e procedure per raggiungere il livello di sicurezza adeguato.
Un consulente esterno potrebbe costare di più, ma una volta finito il lavoro potrebbe lasciare il campo a ben istruiti dipendenti per il mantenimento ed essere richiamato per eventuali audit interni di controllo.
Budget adeguato
Non bisogna fare i tirchi. Il crimine informatico esiste ed è una realtà per tutti, lo dicono le istituzioni nazionali, con la recente Legge Cybersicurezza e internazionali come la NIS 2 eccetera.
Il budget per la sicurezza è importante e ad inizio anno si deve stanziare la giusta cifra senza pensare a questa come ad un costo evitabile.
Si può effettuare una BIA (Business Impact Analysis) per analizzare quali sono gli asset più critici e sensibili dell’azienda e determinare l’impatto che una loro perdita può avere su questa, così da avere dei parametri oggettivi per la stima di budget da stanziare.
ISO/IEC 27001
Infine, le aziende hanno la possibilità, con costi relativamente ridotti, di adottare lo schema internazionale della ISO/IEC 27001 il quale fornisce i metodi per avere una struttura controllata e le linee guida per organizzare una sicurezza a 360 gradi per gli asset aziendali e per l’azienda stessa.
Conclusioni
Se si studia un qualsiasi schema di certificazione, si può notare che c’è sempre un riferimento, o un paragrafo o addirittura capitolo che si riferisce al supporto totale della dirigenza per raggiungere gli obiettivi.
Ed è proprio questo il punto fondamentale, ovvero che gli imprenditori e la dirigenza devono essere pienamente consapevoli dell’importanza e dei benefici che una buona sicurezza può avere e portare alla propria azienda.
Inoltre, dovranno essere sempre loro a supportare tali progetti e a diffondere consapevolezza tra i dipendenti promuovendo attività di sensibilizzazione così da tenere uno standard elevato di attenzione sul tema della sicurezza in tutte le aree.
