Cybersecurity: dati di oggi e previsioni per il domani

La Cybersecurity diviene sempre più un tema centrale sia per le realtà più accademiche di studio e osservazione sia nelle realtà produttive e aziendali.

L’attuale contesto di riferimento è ovviamente molto particolare e deve tener conto delle conseguenze di una pandemia globale che da un lato ha dato un’accelerazione alla cultura del digitale e dall’altro ha visto un incremento esponenziale degli attacchi di cyber-crime.
 

Rapporto PIL – mercato digitale

L’emergenza sanitaria ha messo molte aziende nelle condizioni di dover forzatamente delocalizzare le attività lavorative. L’Italia era pronta per questo passaggio?

Assolutamente no, basti considerare che in Italia il rapporto tra PIL e spesa digitale è inferiore allo 0,1. Un mercato assolutamente immaturo e preso in contropiede da eventi non prevedibili.

I dati non sono rassicuranti neppure a livello europeo e mondiale se consideriamo che questo rapporto si attesta intorno allo 0,3% per Regno Unito e Germania e allo 0,23% per gli USA.

 

I dati della cybersecurity

Attualmente l’attenzione verso il digital è focalizzata sugli aspetti legati al Cloud e dello smart working. Temi come l’IOT (internet of things) e come le intelligenze artificiali sono rilegati a poche realtà particolarmente avanzate. Il movimento vero sarà nei prossimi anni, con una proiezione tra i 3 e i 5 anni.

Ma cosa hanno fatto le aziende in questi ultimi mesi per far fronte all’uragano Covid che ci ha travolti?

Molte aziende sono state costrette ad investire su nuove infrastrutture informatiche e hanno introdotto delle policy legate alla Cybersecurity e alla gestione delle postazioni remote. L’attenzione maggiore è stata dedicata alla infrastruttura di rete aziendale, dimenticando magari un pochino il singolo device e i rischi che derivano dalla connessione e reti domestiche.

Si rileva anche un maggior investimento verso gli aspetti Cyber ma non in maniera consistente come ci si sarebbe potuti aspettare.

Buona invece l’attenzione alla formazione del personale che viene percepita (finalmente) come necessità, soprattutto a causa dell’enorme fenomeno del phishing che nell’ultimo periodo ha visto un incremento del 600%.

 

Come leggere questi dati?

I dati riportati sono sicuramente positivi. Vanno però calati in un dato che mostra un panorama più complesso da analizzare: nel 2020 in Italia si sono spesi circa 1.370 Milioni di € nel mercato della Cybersecurity, con un 4% di crescita rispetto al 2019.

Dato positivo? Stabile? Negativo?

Anche in questo caso è un dato da ponderare considerando la differenza di possibilità di spesa che hanno le PMI e che hanno invece le grandi Aziende internazionali. Il dubbio è che buona parte di questo 4% sia stato investito dai super-colossi e che il tessuto aziendale italiano partecipi veramente in minima parte al totale di spesa.

 

La security in nuovi contesti

La security legata agli aspetti digitali va contestualizzata. Gestire una rete informatica chiusa, legata ad un singolo ambiente di lavoro è senza dubbio più semplice rispetto al dover gestire un buon numero di lavoratori in smart-working. Delocalizzare significa aumentare i punti di accesso alla rete e prevedere più sistemi interconnessi. Tutto questo porta ad un generale aumento del rischio e alla necessità di essere coscienti della situazione per potervi porre rimedio.

Uno degli aspetti principali gestiti dal Framework NIST riguarda la mappatura degli Asset: sapere esattamente quali strumenti/device ho a disposizione e poterne conoscere lo stato di manutenzione e aggiornamento è fondamentale.

La capacità di tenere traccia degli utenti e dei loro livelli di accesso è indispensabile: vanno evitati in ogni modo i codi detti “shadow admin” ovvero figure che col tempo hanno ereditato autorizzazioni e privilegi senza averne davvero necessità. E’ fondamentale che un utente acceda solo agli ambiti di suo interesse e per il tempo che gli è necessario.

Pensando alle terze parti, esse devono essere scelte secondo prerequisiti ben precisi e le loro performance vanno monitorate nel tempo.

 

La supply chain security

Il concetto di supply chain security riguarda il sapere gestire e regolare il rapporto con le terze parti. Nel momento in cui un fornitore entra a far parte della mia rete aziendale, devo essere in grado di redigere una valida politica di data governance.

I contratti di fornitura dovrebbero prevedere già al loro interno le procedure e la regolamentazione della collaborazione, con delle linee basi standard e comuni alla maggior parte dei fornitori e delle sezioni ad hoc create sul singolo caso.

In parole semplici devo saper definire sin dall’inizio: A chi affido i dati? Come li deve gestire? A chi assegno le varie responsabilità? Sono consapevole di chi fa che cosa? Sono pronto ad escludere dai sistemi chi non ha più necessità di accedervi?

Fondamentale anche l’aspetto di supervisione dell’operato – nel breve medio e lungo periodo – con attività di audit periodici e conferma della qualifica del fornitore.

Purtroppo, la gestione della supply chain risulta ancora un anello giovane della catena della sicurezza. Spesso l’assegnazione delle Responsabilità non è formalizzata e viene delegata al 100% a figure IT, anche singole. Anche l’incarico stesso del DPO (Data Protection Officer – Regolamento Europeo Privacy) spesso è assegnata ad un IT interno, in palese contrasto con l’obiettività richiesta dalla normativa europea.

 

Il board delega la Cybersecurity

Approfondendo l’analisi sull’atteggiamento dell’alta direzione, scopriamo infatti che solamente nel 41% delle grandi imprese esiste la figura del chief information security officer (CISO) e che quando è nominato spesso agisce in autonomia senza riferire al board.

La deduzione che ne possiamo trarre è che manca una cultura di collegamento tra chi si occupa di sicurezza e chi gestisce l’azienda, quasi come se gli aspetti di Cybersecurity dovessero essere delegati a poche figure competenti che agiscono in autonomia.

 

Le PMI e il contesto manifatturiero

Abbiamo parlato delle PMI e della loro minor forza di investimento verso gli aspetti di Cybersecurity. In realtà l’industria 4.0 ha portato alcune aziende a poter investire in nuove tecnologie grazie a finanziamenti dedicati allo sviluppo digital. Ottima notizia, se non fosse che queste nuove tecnologie portano con loro delle vulnerabilità fino ad ora sconosciute.

Il mercato manifatturiero, che fino a poco tempo fa si considerava al sicuro da attacchi cyber, ha iniziato ad essere un bersaglio per gli hacker della rete. Se consideriamo che più del 90% delle aziende italiane rientra nel settore manifatturiero, il dato è seriamente allarmante.

Ma cosa rende vulnerabile il settore? Principalmente la connessione alla rete e il fatto che la programmazione è attaccabile. Essere connessi con il web significa aprire degli accessi all’infrastruttura  aziendale che risulta quindi più attaccabile.

 

Il cloud è davvero la soluzione?

Considerando alcuni dati allarmanti, la domanda che ci pone è: il cloud è la soluzione o l’inizio del problema?

Il Cloud può essere sicuramente la soluzione a moltissimi limiti intrinsechi nel concetto di “tengo tutto in casa”. Occuparsi della sicurezza di un server alloggiato nel CED aziendale significa investire denaro nell’acquisto, nella manutenzione e nell’aggiornamento. Tutto tempo ed energie che vengono tolte al vero business aziendale.

Delegare la sicurezza informatica significa togliere all’Azienda tutta una serie di oneri che portano via risorse e tempo. Ovviamente la scelta del fornitore risulta fondamentale. Assegnare il Cloud al giusto fornitore è la svolta chiave che si può fare.

La professionalità e la formazione vanno considerati i pilastri di una scelta orientata al digitale. Investire su fornitori qualificati e puntare sulla formazione del personale significa limitare i rischi legati al fattore umano.

I lavoratori vanno considerati l’ultima barriera di protezione verso gli attacchi e alla loro capacità di analisi e diagnosi va dedicato certamente del tempo e del denaro.

 

Le nuove professioni della Cybersecurity

Attorno al fenomeno sempre più attuale delle Cybersecurity stanno nascendo e crescendo tutta una serie di figure con livelli di formazione crescenti a seconda delle necessità.

Divengono sempre più importanti le figure trasversali che hanno competenza sia in ambito informatico, sia in ambito GDPR – Legge sulla privacy.

Anche territori come la Svizzera, da sempre un po’ slegati al territorio europeo, si stanno muovendo (nuova legge privacy svizzera) per uniformarsi ad alcuni aspetti legati alla protezione dei dati e alle figure professionali di consulenza.

Le certificazioni come la UNI EN ISO 27001 vengono sempre più percepite come valore aggiunto e i consulenti multi-area che possono guidare un’Azienda nel raggiungimento delle certificazioni ISO diventano centrali in un processo di qualifica.

 

Basi da cui partire

La situazione contingente particolare ci ha costretto ad adattarci a nuovi strumenti e modalità di lavoro. Ci ha anche portati, fortunatamente, a renderci conto che esiste il tema della Cybersecurity. La consapevolezza è il primo passo verso la riduzione di un rischio. Il passo successivo è investire su tutti gli aspetti che possono fare la differenza tra un sistema “meno vulnerabile” e un sistema “assolutamente vulnerabile”. Censimento degli asset, redazione di policy, scelta di fornitori qualificati, formazione del personale, corretta assegnazione delle responsabilità, conformità a standard internazionali, comunicazione tra board e team CISO… sono tutti aspetti che devono evolvere per puntare al concetto di Cybersecurity.