La sicurezza informatica come priorità aziendale. “Proteggere il perimetro di attacco”
In epoca pandemica, la spinta tecnologica delle aziende è aumentata, con una maggiore esposizione ai rischi cyber. Pasquale Testa, Presidente CIO CLUB ITALIA, ci spiega perché la sicurezza informatica è una priorità per l’azienda.
In epoca pandemica, la spinta tecnologica delle aziende è aumentata, con una maggiore esposizione ai rischi cyber. Pasquale Testa, Presidente CIO CLUB ITALIA, ci spiega perché la sicurezza informatica è una priorità per l’azienda.
La pandemia ha accelerato il processo di digitalizzazione ed esposto le aziende a un uso consistente degli strumenti tecnologici. Dal punto di vista dei CIO, quali sono i vantaggi, e quali le vulnerabilità, di questa transizione?
Pasquale Testa: Senza dubbio, grazie alla pandemia abbiamo assistito a una notevole informatizzazione delle aziende, e a una definitiva evoluzione dei processi di digitalizzazione . Come conseguenza, questa transizione ha portato a un allargamento del perimetro di attacco e ad una vulnerabilità sotto il profilo della sicurezza informatica. I CIO hanno dovuto prendere atto di questa fragilità, ed è diventato essenziale capire come difendere il rapporto fra la casa del dipendente e gli uffici. Va però sottolineato un aspetto: in molti casi le aziende non erano preparate, e hanno dovuto aprire accessi all’esterno in una situazione emergenziale.
Questo significa che le organizzazioni si sono scoperte in mancanza di un’adeguata protezione. Poche aziende hanno implementato le
procedure di cybersecurity
prima della situazione che conosciamo, e con investimenti ad hoc. La maggioranza di loro ha affrontato il tema della sicurezza informatica solo dopo, quando ormai era vitale correre ai ripari di attacchi ransomware, o di analoghe minacce. In questo modo, e in mancanza di un’adeguata prevenzione, il rischio è aumentato.
Questo per sottolineare che l'aumento di consapevolezza c’è stato di sicuro, ed è un dato di fatto che in tema di sicurezza informatica moltissime aziende siano corse ai ripari. Va però anche messa a fuoco una tendenza da correggere: spesso in Italia si prende sul serio un problema solo “in acuto”, quando si tocca con mano il rischio, e dunque gli attacchi sono già avvenuti.
Il che rende necessarie misure correttive molto dispendiose, come nel caso degli attacchi ransomware. Aziende anche blasonate hanno conosciuto il problema molto da vicino: negli attacchi ransomware, i dati vengono criptati con la minaccia di renderli pubblici a meno di non pagare un riscatto. Il recupero successivo delle informazioni estorte comporta attività correttive molto costose, che avrebbero potuto essere evitate con un’adeguata protezione preliminare.
Vale lo stesso per gli attacchi cosiddetti “man in the middle”, che avvengono quando un intruso si insinua fra il mittente e il destinatario di una mail, fingendosi uno dei due. Ho assistito personalmente al caso di un’azienda campana che ha versato soldi a un fornitore estero di materie prime: compensi mai arrivati a destinazione perché qualcuno ha intercettato il canale, mettendosi appunto “nel mezzo”.
Iscriviti alla newsletter
Ottenga l'accesso agli ultimi articoli, interviste e aggiornamenti sui prodotti.
Approfondendo il tema cruciale della cybersecurity: che cosa è cambiato dalla pandemia in poi in fatto di percezione del rischio informatico?
Pasquale Testa: Di sicuro è emersa la necessità di ottenere informazioni più accurate, e di allestire adeguati iter di formazione. I responsabili IT devono essere in grado di prendere in carico questa esigenza, formando le persone e spiegando nel dettaglio i rischi anche di attività solo apparentemente innocue e le relative contromisure: ad esempio aprire un allegato dannoso, e limitare l’accesso alle reti da parte dei singoli utenti.
Il bisogno di sensibilizzare alle diverse tipologie di uso dei sistemi informatici, soprattutto da casa, è ormai cruciale: e soprattutto negli attuali scenari ibridi. In generale credo di poter dire che la percezione del rischio, e la considerazione della sicurezza informatica come assoluta priorità , sono aumentate. Ma l’attenzione deve sempre essere tenuta alta. Soprattutto perché le prime linee aziendali tendono a concentrarsi sul business, e questo può determinare una maggiore esposizione agli attacchi.
Quando ci si chiede quale attività è fondamentale per la sicurezza informatica, bisogna essere consapevoli che la protezione in questo senso è un costante allenamento, che va sempre tenuto costante. La formazione non può essere limitata a momenti isolati, cadendo poi nel dimenticatoio per il resto dell’anno. Serve continuità. Bisogna imparare a tenere sotto controllo le newsletter interne, e gli eventuali avvisi che avvertono degli attacchi più evoluti e diffusi: penso ad esempio ai phishing che sfruttano gli sms. Le minacce si evolvono, e in parallelo devono evolversi consapevolezza e difese.
Quali sono le sfide per le aziende e per i CIO che vogliono crescere secondo il modello agile garantendo la sicurezza informatica?
Pasquale Testa: Quando si tratta di analizzare il rapporto fra la transizione al modello agile e la sicurezza informatica, riporto sempre volentieri l’esempio degli antichi: quando le città crescevano, si miglioravano le mura delle città. Mutatis mutandis, nello scenario attuale servono buoni assessment una o due volte l’anno, affidandosi a esperti esterni e consulenti specializzati. Tutte le nuove implementazioni in chiave agile devono senz’altro essere abbracciate, ma con un occhio costante alla sicurezza.
Sono invece contrario agli inserimenti di funzioni innovative trascurando la sicurezza informatica come aspetto prioritario: è una superficialità che non tarda a presentare il conto. Rischia di comportare un vantaggio nel breve termine, ma danni molto consistenti nel lungo periodo. Nella mia azienda, ad esempio, abbiamo inserito soluzioni soggette a tre livelli di sicurezza: protezione da virus noti, da virus non noti (zero trust) e una protezione su tecnologia sofisticata che ci permette di intervenire 24/h sulle eventuali anomalie. Va detto chiaramente:
gli investimenti in fatto di cybersecurity non possono essere trascurati, e devono essere considerati come costi sempre vantaggiosi rispetto ai rischi.
Più siamo protetti a monte, e più siamo tranquilli per il futuro. Il che non significa potersi assicurare una protezione totale: questo non è possibile. Ma quando ci si chiede quale attività è fondamentale per la sicurezza informatica e quali investimenti sono sostenibili, specie alla luce delle attuali transizioni di paradigma, non si deve giocare al ribasso: un’azienda ben difesa scoraggia la volontà dell’attacco, perché lo rende più difficile e più dispendioso.
Inoltre: aziende più protette sono anche più competitive sul mercato estero, e devono poter dimostrare che anche i fornitori siano adeguati sotto il profilo della sicurezza informatica. Il che è una grande opportunità anche per le PMI: spesso ci dimentichiamo che l’investimento è rapportato al numero di postazioni.
Ma anche a un’azienda piccola conviene investire subito in cybersecurity. Perché quell’investimento minimo pagherà in prospettiva. Agli amministratori delegati delle piccole aziende chiedo sempre quanto spendono per tutelare la sicurezza informatica e quanto in noleggio auto: non mi sorprende scoprire che spesso spende più nel secondo. È necessario un cambiamento di marcia.
Nell’attuale scenario ibrido, i CIO si incontrano sempre più spesso utilizzando soluzioni tecnologiche non sempre nate per la gestione dei processi di riunione. Quali sono i potenziali rischi di questi “aggiustamenti” sotto il profilo della sicurezza informatica?
Pasquale Testa: In primo luogo, per la gestione delle riunioni è fondamentale che i sistemi siano accessibili solo a chi ha i privilegi, e che i dati siano riservati e accessibili solo alle aziende di cui si fa parte. La possibilità di selezionare i partecipanti è dunque importantissima per evitare intrusioni e diffusioni incontrollate di informazioni e dati. Inoltre, anche i rapporti con i fornitori devono essere tutelati.
Le tecnologie devono poter supplire alla condivisione casuale di file: per questo è necessario investire su un software protetto e dedicato alla gestione del processo nelle sue diverse fasi: prima, durante e dopo la riunione. Va ribadito che la condivisione di documenti via mail è estremamente pericolosa, oltre che caotica e poco adatta a un buon processo decisionale.
Le aziende dovrebbero rendere prioritaria l’introduzione di un software centralizzato e predisposto alla condivisione e all’aggiornamento ordinato dei documenti, che renda i file cifrati e accessibili solo mediante doppia autenticazione. No anche all’uso di canali esterni di messaggistica, come Whatsapp: una cattiva abitudine purtroppo molto comune. I canali di comunicazione devono essere controllati, sicuri. I dati sono il nostro petrolio, per questo devono essere accessibili a pochi, in ottica selettiva.