Sempre di più occorre saper approcciare gli indicenti di sicurezza informatica con una visione multi disciplinare.
Sentiamo spesso dire che la sicurezza informatica in azienda è un processo e non un prodotto ma cosa vuol dire in concreto? Saper adottare un comportamento responsabile da parte dell’azienda significa analizzare, conoscere ed attuare misure di sicurezza informatica idonee ad affrontare i potenziali rischi ai quali si è esposti. Prima di tutto questo però occorre comprendere quali sono gli asset critici per il business aziendale. Questo concetto risulta importante anche per quanto riguarda l’adeguamento al gdpr.
Secondo una ricerca, solo il 23% delle aziende presenti nella nostra penisola risulta conforme alle linee guida del Regolamento Europeo sulla Protezione dei Dati. Questo significa che poco più di due realtà su dieci possono dimostrare di aver adottato un approccio basato sul rischio per proteggere i dati trattati.
Nonostante il primato europeo per sanzioni comminate dalla nostra Autorità Garante e l’aumento dei danni riconducibili al cyber crime, in Italia siamo ancora lontani dalla totale comprensione di questo concetto.
Ancora oggi, nonostante tutte le notizie relative agli attacchi informatici, si possono riscontrare ancora realtà che credono di aver raggiunto un buon livello di security. Può capitare, a chi non tratta la materia e non segue l’evoluzione inerente queste tematiche, di pensare che un attacco hacker non lo coinvolga mai; anche quando si riesce a far capire l’importanza di questi argomenti, in molti scelgono comunque di intraprendere il percorso che comporta il minor dispendio di energie, convinti di ottenere un risultato ottimale con il minimo sforzo. Purtroppo, tutto ciò è in totale contrapposizione con il concetto di approccio risk based, non stiamo parlando di un prodotto/servizio una tantum, ma di un percorso. Una volta intrapreso, questo deve basarsi sui rischi ai quali effettivamente è soggetta l’azienda. Dopo un analisi iniziale, occorre implementare se non addirittura creare ex-novo misure di sicurezza informatica tecniche e organizzative idonee.
L’imprenditore potrebbe pensare di non ricavare vantaggi concreti da tutto ciò, ma a confermare quanto detto è uno studio del Data Privacy Benchmark Study di Cisco, che stima un ritorno dell’investimento relativo alle misure di cyber security adottate e privacy pari al 240%. I vantaggi sono molteplici, vanno dal generare una maggiore fiducia da parte dei clienti nei confronti dell’azienda ad una maggiore ottimizzazione dei processi, fino ad arrivare ad una esposizione minore ai rischi informatici. Doveroso ricordare che i danni riconducibili ad un cyber attack secondo il report Cost of a Data Breach di IBM possono costare all’azienda più di quattro milioni di euro. Il timore di essere vittima di una violazione informatica risulta stabilmente della top ten dei timori maggiormente sentivi dalle imprese. Ma da dove possiamo iniziare? Per rispondere a questa domanda possiamo consultare l’articolo 35 del gdpr che parla di DPIA (data protection impact assessment) ovvero della valutazione dell’impatto di un determinato trattamento per comprendere quali potrebbero essere i rischi informatici legati ad esso. Possiamo (dobbiamo) coinvolgere più figure professionali mentre compiliamo quest’analisi. I professionisti coinvolti possono dare il loro contributo e contribuire a formare un quadro giuridico-informatico completo, dando la possibilità all’azienda di comprendere quali sono i rischi informatici che si corrono. Un approccio di questo tipo aiuta anche a far emergere la possibilità di adottare soluzioni diverse, ma comunque efficaci nel raggiungere l’obiettivo prefissato. Ecco cosa intendiamo per approccio risk based e da questo ne deriva anche una condotta conforme con il concetto di accountability.
Sono rari gli approcci di questo tipo, soprattutto nelle PMI italiane. La scarsa adozione di un comportamento simile potremmo ricondurla a tre principali motivi:
1) La poca cultura sul tema della sicurezza informatica.
2) La paura di un dispendio di risorse economiche e organizzative elevato e inutile.
3) Un’opera d’informazione spesso basata solamente sul rischio di tipo legale (il timore delle sanzioni) anziché su quello informatico.
Come in tutte le cose possiamo vedere il lato positivo anche in questa situazione non proprio idilliaca. A partire dal 2020 sembra essersi invertita questa tendenza, il mercato della sicurezza informatica segna una crescita costante anno su anno. A spingere questo trend ci sono digitalizzazione e investimenti pubblici sempre maggiori come il PNRR.
La strada è stata tracciata da un punto di vista normativo e presto nessuna realtà potrà fare a meno di affrontare i discorsi relativi sicurezza informatica. Tutti i professionisti del settore privacy e cyber security devono aumentare gli sforzi perché c’è ancora molto da fare, soprattutto in campo informativo. Aumentare le azioni di sensibilizzazione, far comprendere alle persone il motivo reale del perché è meglio adottare un approccio basato sui rischi. Anche da un punto di vista istituzionale, le autorità competenti in materia devono cercare di avere un ruolo da protagonista sul tavolo di gioco. In ballo non c’è solo la sicurezza delle nostre aziende, ma quella di tutto il Paese.
Matteo Gianniello, consulente Privacy e Cyber Security