Un nuovo anno è iniziato e, come di consueto, porta con sé dei buoni propositi, quella serie di attività che ci prefiggiamo di fare nei mesi a venire per migliorare noi stessi e le nostre abitudini.
Anche le aziende spesso iniziano l'anno con un proprio elenco simile, pianificando interventi e azioni per migliorare e crescere. Purtroppo però, in questa lista, quasi mai compare una voce sempre più fondamentale: cybersecurity.
La cybersecurity, nella larga maggioranza dei casi, non è minimamente contemplata. Quando viene presa in considerazione, invece, troppo spesso è considerata come un costo inutile, un esborso ingiustificato di risorse che potrebbero essere meglio allocate in altri ambiti.
I fatti però, ci dicono che le cose non stanno affatto così: la cybersecurity non solo è un investimento, ma uno dei primi da mettere in conto se si vuole salvaguardare la propria impresa.
Proviamo a guardare ad alcuni dati per capire meglio la situazione. Da una ricerca effettuata su un campione di oltre 800 aziende, e pubblicata su “Il Sole 24 Ore” il 3 gennaio, emerge che i temi legati alla cybersecurity sono importanti per il 60% delle intervistate, mentre non lo sono per il restante 40%.
A partire da questa prima rilevazione, potremmo dire che tutto sommato almeno la consapevolezza dell'importanza è abbastanza diffusa, ma andrebbe poi visto, nel concreto, se e quali azioni vengono messe in pratica per attuare dei piani strutturati di sicurezza informatica.
Guardando più nel dettaglio al 40% di aziende che non dichiarano di non avere a cuore il tema, è però estremamente preoccupante vedere come regni ancora molta confusione. Ad esempio viene segnalato che la cybersecurity non sarebbe rilevante, dal momento che non vengono trattati dati sensibili da parte dell'organizzazione. Ciò significa che in queste aziende, ancora oggi, non è affatto chiaro cosa sia la cybersecurity, e per questo se ne fa una commistione impropria con ciò che riguarda la privacy e la protezione dei dati.
Ma la cybersecurity non è solo questo, riguarda la sicurezza degli asset proprietari, di tutta l'infrastruttura informatica dell'azienda che è necessaria a garantirne l'attività, e si estende dalla protezione dell'ultimo smartphone del sales manager in trasferta dall'altra parte del mondo, fino a quella della macchina utensile 4.0 dotata di tecnologia IoT, passando per tutti i computer e dispositivi connessi alla rete.
Veniamo allora agli ultimi dati, quelli più allarmanti in assoluto, che ci spiegano ancora meglio la situazione attuale:
- Il 72% delle aziende non offrono corsi di formazione o webinar sui rischi cyber e sulle precauzioni da adottare;
- L’85% non sa cosa sia un attacco DDos (Distributed Denial of Service), il 73% non conosce gli attacchi ransomware e il 52% non ha mai sentito parlare di phishing;
- Il 50% circa non ha mai verificato la sicurezza dei sistemi informatici tramite appositi metodi.
Non serve qui entrare nel dettaglio tecnico di quanto elencato sopra, perché ormai la frequenza degli attacchi è talmente alta che si tratta di espressioni e parole che ormai abbiamo appreso attraverso la cronaca e i media.
Questi eventi, di cui leggiamo quasi ogni giorno sui giornali, che riguardano indifferentemente aziende piccole e grandi, enti pubblici o operatori privati, dovrebbero consentirci di sfatare il mito più pericoloso che riguarda la cybersecurity: perché mai dovrebbero attaccare me?
La facilità con cui oggi è possibile sferrare un attacco informatico ha fatto sì che chiunque oggi ne possa essere vittima (spesso ignara). Perché chiunque può rappresentare la prima "porta di accesso" a ulteriori reti da attaccare per arrivare infine a un bersaglio potenzialmente "monetizzabile" da parte dei cyber-criminali.
È quindi fondamentale che le aziende, oltre a provvedere a sistemi di difesa evoluti, informino e formino costantemente le persone con cui lavorano. Perché anche il migliore firewall risulta inefficace senza una consapevolezza diffusa dei rischi e dei potenziali attacchi da parte di ogni membro dell'organizzazione.
Proviamo ad esprimere lo stesso concetto con una chiara similitudine: ogni persona dotata accesso alla rete aziendale deve assumere la funzione di "sentinella" a guardia del proprio "portone di accesso" alla "fortezza". Nessuna "cinta muraria", anche alta decine di metri, può fornire adeguata protezione se i cancelli sono spalancati e ponti levatoi abbassati.
È chiaro che la formazione, l’utilizzo di strumenti di difesa efficaci, la verifica della sicurezza della propria infrastruttura a cadenza regolare e l’individuazione di possibili vulnerabilità rappresentino un costo. Ma rappresenta un costo, molto più elevato, un fermo macchina causato da un attacco, la perdita di reputazione, il furto di un brevetto o di informazioni strategiche.
La consapevolezza dei rischi ormai non può più essere ignorata, i mezzi per proteggersi ci sono e sappiamo che si tratta di tecnologia ma anche di formazione, resta quindi solo da adottarli, quanto prima, nella consapevolezza che tutti possono essere attaccati e che in caso di attacco la carta vincente è la tempestività di risposta. L'alternativa è scoprire troppo tardi e a proprie spese quanto sia importante la cybersecurity.
I CORSI CYBERSECURITY ORGANIZZATI DA CONFINDUSTRIA VICENZA
Master Executive in Cybersecurity
10 lezioni di 4 ore ciascuna (dalle 09:00 alle 13:00)
dal 20 marzo al 3 luglio 2024, in presenza, presso la sede di Confindustria Vicenza a Palazzo Bonin Longare (Corso Palladio, 13 - Vicenza)
Cybersecurity Governance, Risk e Compliance: come tutelare i dati aziendali
5 lezioni, 16 ore di formazione in diretta web (le lezioni non verranno video registrate)
dal 31 gennaio al 28 febbraio 2024
Cybersecurity OT (Operation Technology) Security Crash Course
3 lezioni, 9 ore di formazione in diretta web (con video registrazione)
dal 23 ottobre al 6 novembre 2024
