Cybersecurity, pochi fondi e scarsa competenza

Fabrizio Bulgarelli
Cybersecurity internet concept

In Italia si spende solo il 5% dei fondi allocati per l’ICT nella sicurezza aziendale. Le imprese non hanno un manager per la sicurezza e mancano piani pluriennali di security contro le minacce digitali

Nel nostro paese, stando ai dati disponibili per il 2016, vengono spesi in ICT circa 66 miliardi di Euro ma di questi solo il 5% è destinato alla sicurezza informatica, non molto rispetto ad altri Paesi e viene quindi spontaneo pensare che rispetto ai rischi reali e potenziali non si faccia abbastanza.

Approfondendo l’analisi, solo il 50% delle grandi aziende ha un manager per la gestione della sicurezza informatica, una figura che adesso diventa sempre più essenziale, e solo un’azienda su sei (il 58% del totale nel caso delle grandi aziende) dispone di un piano pluriennale riferito alla security.  C’è più consapevolezza verso le minacce digitali ma solo in una società su tre viene varato un piano organico annuale mentre circa il 30% delle aziende agisce e assegna un budget solo all’occorrenza, magari troppo tardi.

Spesso mancano piani e coordinamento definiti in uno scenario di medio/lungo periodo anche se circa il 14% delle imprese ha già sottoscritto una polizza assicurativa contro i cyber rischi e i danni causati a terzi. Con la diffusione del cloud, e dell’internet delle cose si sono introdotti nuovi elementi di rischio ma anche su questi si fa ancora troppo poco, pochi infatti hanno delle policy specifiche sebbene circa il 40% delle aziende, stando a recenti sondaggi, sta ragionando sulla definizione di azioni in difesa da cyberattacchi.

La situazione peggiora per i dispositivi smart dove sembra che appena il 10% delle organizzazioni adotti delle soluzioni specifiche. Statistiche alla mano, quasi un attacco su tre va a buon fine e nel 66% dei casi viene scoperto in media dopo almeno sei mesi e troppo spesso manca personale specializzato per farvi fronte e sviluppare rapidamente contromisure adeguate. Non è una cosa rara inoltre che gli attacchi siano agevolati dall’impreparazione dei dipendenti, come non è altrettanto raro che non si sappia quali e quanti rischi si corrano. Ad esempio basta una banale raccolta dati da GPS sui mezzi aziendali per avere potenziali fortissime implicazioni di security e privacy.

Le strategie di risposta ci sono e fortunatamente offrono ampi spazi di miglioramento, questo è il core su cui bisogna lavorare in ottica di innovazione tecnica e operativa ma senza mai trascurare la crucialità del fattore umano.  Le aziende devono valutare e possibilmente prevenire i rischi legati all’ICT, i rischi crescono in parallelo ai benefici, e devono farlo anche intervenendo sui processi gestionali dello staff, sulla formazione del personale, sul sistema globale di controllo interno. Investendo su strategie specifiche e di ampio respiro l’impresa può e anzi deve disporre di un sostanziale ed irrinunciabile punto di forza.

Se questo è lo scenario, con andamento positivo ma non soddisfacente, della security in Italia il nuovo regolamento UE (GDPR) sulla privacy si innesta su di esso come una minaccia ed una opportunità. E’ evidente a tutti che privacy e security sono strettamente legate tra loro, potremmo certamente definirle facce diverse della stessa medaglia.  Per il GDPR resta meno di un anno e per molti si tratta di un oggetto misterioso. C’è il concreto rischio che vada a finire come con il provvedimento sugli amministratori di sistema; fu una corsa all’ultimo minuto che portò spesso all’implementazione di soluzioni artigianali, incomplete e discutibili che mostrarono presto la loro inadeguatezza.

Ma il GDPR è uno strumento non eludibile che impone obblighi non differibili e per molto tempo resterà il tema caldo della security. Il GDPR si pone sicuramente come un nuovo problema da gestire ma anche e soprattutto può essere l’occasione per una seria riflessione che porti ad affrontare in ottica nuova anche il problema della IT security e cybersecurity. E’ chiaro che le grandi imprese, di fatto quasi tutte multinazionali, operanti in Italia si stanno muovendo e anche abbastanza velocemente ma riguardo alle imprese italiane medio piccole, la spina dorsale della nostra economia, lo stato dell’arte è molto diverso.

Queste imprese, che possono fatturare anche decine o centinaia di milioni, vedono in questi obblighi praticamente solo nuove spese da sostenere che nella maggioranza dei casi si limitano a subire senza capirne la necessità o l’utilità. In realtà oltre ad essere un provvedimento doveroso il GDPR è anche una occasione per rimettere in ordine molti aspetti della sicurezza dei dati e dei propri sistemi, non di rado colpevolmente trascurati. Ricordiamoci che spesso le leggi o i regolamenti non sono poi così complicati o ambigui, a rendere difficile e a volte inefficace la loro applicazione è piuttosto il modo in cui vengono affrontati.

Ci si accontenta di una conformità formale senza realmente scendere a fondo e sistemare quanto c’è da sistemare ed il bollino di conformità serve soprattutto come biglietto da visita o come medaglia, oppure come requisito per partecipare a qualche gara. La superficialità fa vedere tutto come un fastidio, un’inutile imposizione arrivata dall’alto, senza voler fare lo sforzo di analizzare veramente i contenuti di una legge o di un regolamento. Sostanzialmente manca consapevolezza di certi aspetti della realtà contingente e del valore di ciò che si produce e gestisce. Molti imprenditori non hanno una cognizione esatta del valore effettivo di una specifica informazione che sia tecnica, privata o personale. Non sanno quanto vale per loro e ancora di più non sanno quanto può valere per gli altri. Le informazioni, le più sono critiche e le più correnti sono generalmente trattate allo stesso modo con livelli di sicurezza non adeguati.

E si tratta in buona misura di un problema di natura culturale. Quanto del miliardo di cui si parlava prima viene speso in formazione del personale ed in particolare dei manager? Occorre crescere da questo punto di vista e adeguarsi ad una concezione moderna indispensabile per operare con successo ed in sicurezza. Limitandosi all’essenziale, per arrivare alla conformità con il GDPR e quindi ad un conseguente incremento della security, occorrerebbe fare poche cose semplici, per qualcuno pure scontate, anche se impegnative:

  • Classificare i dati secondo criteri di security e privacy
  • Determinare il valore reale e funzionale di dati ed informazioni (per l’azienda e per i terzi interessati)
  • Verificare il livello effettivo di security esistente
  • Stabilire livello attuale e desiderato di conformità a GDPR e Dlgs 196/03 e rilevare i gap da colmare
  • Definire e mettere in pratica le azioni necessarie e avviare un adeguato programma di mantenimento/incremento del livello di conformità raggiunto

Un lavoro di questo genere obbliga a rivedere ed a volte a creare ex-novo le politiche di sicurezza e di privacy aziendale con evidenti vantaggi. Sono attività impegnative che richiedono la presenza di specialisti qualificati. E’ necessario trovare un punto di incontro tra offerta di consulenza specializzate e la piccola media impresa che rappresenta il mercato più grande. Serve un offering di qualità ma modulabile, in sostanza occorre saper proporre esattamente quello che serve, con un prezzo ragionevole.

 

Di Fabrizio Bulgarelli, Partner - Head of Risk Advisory Service and IT Services RSM, Società di Revisione Contabile

Lascia il tuo commento

Condividi le tue opinioni su Economy

Caratteri rimanenti: 400