Cybersecurity in azienda: decisivo il fattore umano

LA PAROLA ALL’ESPERTO – Paolo Prinetto

“Le aziende si dividono in due tipi: quelle che sono state attaccate e quelle che non sanno di essere state attaccate”. A parlare è Paolo Prinetto, direttore del Laboratorio Nazionale di Cybersecurity del CINI (Consorzio Interuniversitario Nazionale per l’Informatica) che in questa intervista – con cui inauguriamo “La parola all’esperto”, una nuova sezione del blog di Mister Credit dedicata all’approfondimento – spiega che cos’è il rischio cyber per le aziende e come può essere fronteggiato, “a partire da una formazione capillare e diffusa in cybersecurity”.

Secondo la Relazione 2021 dei Servizi segreti, nel 2020 gli attacchi informatici sono cresciuti del 20%. L’osservatorio Cyber di Crif ha rilevato nel primo semestre 2020 un aumento del 26,6% di furti d’identità e truffe sul web rispetto al secondo semestre 2019. Professor Prinetto, che impatto economico ha oggi il cybercrime?

Il cybercrime oggi è a livelli mai raggiunti prima. Secondo l’ultimo rapporto del World Economic Forum sui rischi globali, nel 2021 i danni delle attività dei cybercriminali potrebbero arrivare a 6 trilioni di dollari, l’equivalente del prodotto interno lordo della terza potenza economica mondiale.

Di fronte a un fenomeno di questa entità c’è sufficiente consapevolezza del rischio da parte delle aziende?

No. La percezione del rischio sta crescendo ma c’è ancora molto da fare, soprattutto a livello di formazione delle persone. È su questo che bisogna insistere, in particolare per le PMI. Tante aziende continuano a considerare la sicurezza come un costo. Non è così, la sicurezza è una priorità. Ci sono casi di aziende che sono state ridotte sul lastrico a causa di attacchi informatici. Manca una sensibilità adeguata al riguardo perché manca la cultura. E mancherà fino a quando non si arriverà a parlare di queste cose anche in televisione in prime time.

Quali sono le minacce informatiche che possono colpire le aziende?

Sono tantissime e di diversa natura. Possono derivare dalle vulnerabilità delle tecnologie utilizzate (software, firmware, sistemi informativi), dalle vulnerabilità dell’organizzazione (assenza di persone dedicate al controllo della sicurezza, di sistemi di disaster recovery, ecc.) e, non ultimo, dal fattore umano, sistemicamente il più pericoloso: l’anello debole sono sempre le persone.

Come mai?

Per un malintenzionato è più facile corrompere qualcuno che investire per cercare una vulnerabilità in una tecnologia. Dai malware ai trojan sono numerosi gli attacchi che vanno a sfruttare il fattore umano. Per questo è importante sensibilizzare sui rischi di phishing, sull’uso disinvolto delle chiavette USB, sul non dismettere pc o stampanti laser senza averne prima cancellato i file. Il fattore umano è cruciale a tutti i livelli: dall’ultima persona assunta all’amministratore delegato sono tutti vulnerabili e tutti possibili obiettivi di attacchi.

La pandemia che effetto ha avuto sul cybercrime? 

La pandemia ha aumentato le opportunità di attacco. Pensiamo ai problemi che ha posto la diffusione dello smartworking. Con il computer di casa come mi collego all’azienda? Una rete VPN può essere una soluzione, ma occorre aver installato i necessari dispositivi di protezione, altrimenti la stessa VPN diventa il canale attraverso il quale entrano in azienda tutti i malware che posso avere sul dispositivo. Senza dimenticare anche l’importanza, ai fini della sicurezza informatica, di tenere ben distinta la parte di lavoro da quella personale o ludica.

Se lei fosse a capo di un’azienda, come opererebbe per mitigare il rischio cyber?

In primis cercherei un esperto di sicurezza informatica, investirei nel fattore umano per formare tutti coloro che lavorano nell’azienda e poi inizierei a pensare alle soluzioni tecnologiche e organizzative da mettere in atto. Esattamente come ci si pone il problema della sicurezza fisica del capannone o degli uffici, occorre porsi il problema della protezione informatica. E come ci si assicura contro il furto o l’incendio, oggi è necessario assicurare l’azienda contro i danni che possono essere causati da un attacco informatico.

Quali altri suggerimenti di cybersicurezza possiamo dare alle PMI?

Come Laboratorio Nazionale di Cybersecurity abbiamo definito un “Framework nazionale di Cybersecurity”, uno strumento che permette di fotografare la posizione dell’azienda rispetto alla sicurezza e che può aiutare a definire un percorso volto alla cybersecurity e alla protezione dei dati, riducendo i costi e aumentando l’efficacia delle misure. Oltre al framework abbiamo predisposto 15 controlli essenziali di cybersecurity che, se ignorati oppure implementati in modo non appropriato, possono causare un aumento considerevole del rischio informatico. Per approfondire, sul sito cybertecnationalab.it è possibile scaricare gratuitamente il Libro bianco “Il Futuro della Cybersecurity in Italia”. Nel volume vengono considerati molteplici aspetti della sicurezza informatica: dalla definizione di infrastrutture e centri necessari a organizzare la difesa alle azioni e alle tecnologie per essere protetti al meglio, fino alla proposta di un insieme di azioni per la formazione, la sensibilizzazione e la gestione dei rischi.

Comments are closed.

Powered by WordPress.com.

Up ↑