Cybersecurity: l’approccio delle aziende

Sul tema della Cybersecurity abbiamo intervistato Luca Ercoli – Membro del CDA e Presales and Innovation Director di Sielco srl. Abbiamo cercato di capire quale sia la percezione del tema da parte delle aziende e quali siano le previsioni sul prossimo futuro.

Benvenuto Luca, grazie per il tempo che ci stai dedicando. Iniziamo col chiederti una panoramica di Sielco srl, azienda storica di Bugggiate (VA).

Sielco è un’azienda informatica nata nel 1977 come software house. Nel tempo si è evoluta aggiungendo servizi legati all’hardware, al mondo sistemistico e al mondo VOIP/internet. Oggi il core business è fortemente legato alle soluzioni in cloud e al tema della cybersecurity.

Il 60% delle nostre aziende appartiene al settore privato, il restante 40% è diviso tra studi professionali (30%) e PA (10%). Siamo assolutamente trasversali su tutti i settori. Abbiamo clienti in ambito manifatturiero, utility, edilizia, artigianato, … Il nostro cliente tipo è l’azienda medio-piccola del nord Italia (soprattutto delle zone di Varese, Milano alta e Piemonte).

Come cambia l’approccio alla cybersecurity in base alla tipologia di azienda considerata?

Tendenzialmente l’azienda più strutturata ha un imprinting manageriale basato sul calcolo e sulla valutazione del Rischio. Questa tipologia di organizzazione di solito ha un’affinità particolare coi temi della sicurezza informatica e della cibersicurezza. Le aziende più piccole, al contrario, hanno un approccio più fatalista e tendono ad intervenire quando il danno ormai è fatto.

Le grandi aziende spesso stipulano anche delle assicurazioni legate al rischio cyber, mentre le piccole spesso non sanno neppure che esiste questo tipo di polizza.

Spesso la piccola azienda si accorge del danno, e non dell’attacco.

Negli ultimi anni avete notato una diversa sensibilità verso il tema cybersecurity?

Assolutamente sì! Esiste una maggior sensibilità verso il tema cybersecurity perché i media hanno cominciato a trattare l’argomento. Quando si iniziano a leggere notizie su attacchi a Google, a Facebook, a Toyota o a Samsung, è chiaro che l’attenzione sale e la preoccupazione aumenta. Il rischio è che tutti vengano toccati e che tutti ne subiscano un po’ le conseguenze. Se Facebook “perde” i nostri dati, perde qualcosa di nostro.

Negli ultimi anni c’è stato un aumento esponenziale di attacchi Ransomware e Phishing, i tipici attacchi fatti alle aziende che fanno leva sull’errore umano e sulla distrazione del dipendente che clicca su un link malevolo. Anche se l’attacco non lo si vive personalmente, ma ci viene riferito da amici, parenti e vicini di casa… la percezione del rischio inizia a diventare reale.

Ovviamente siamo ancora in una fase in cui non tutti hanno compreso il peso reale dell’argomento e le implicazioni che un attacco hacker può comportare.

Cosa serve per sensibilizzare ancor di più le aziende sul tema della cybersecurity?

I temi della cybersecurity sono spesso molto tecnici. Bisogna imparare a parlare di sicurezza informatica in modo meno specialistico.

E soprattutto bisogna riuscire a trasmettere il messaggio che dietro ad un rischio di cybersicurezza, c’è un rischio di business. Bisogna aiutare il cliente a comprendere che l’obiettivo non è quello di vendere un firewall in più, ma è quello di mettere in sicurezza il business.

Il linguaggio deve essere appropriato e deve parlare la lingua del destinatario: se parlo con un’azienda produttrice, dovrò essere capace di far comprendere che il rischio è lo stop della produzione. Fine, non produco. Ho le macchine ferme, non vendo.

Inoltre, serve che venga creata una cultura generale sull’argomento e il fatto di leggere quotidianamente post e articoli al riguardo è sicuramente di supporto. Proprio ieri leggevo che è stato arrestato il capo di un gruppo hacker che è riuscito a violare aziende come Samsung e Microsoft. La cosa incredibile è che il capo della gang ha solamente 16 anni!

Sielco è partner di Mondo 27001 nel proporre il “rating di cybersecurity”. Perché secondo voi questo strumento può essere un valore aggiunto?

Il rating di cybersecurity è uno strumento ad alto valore aggiunto per diversi motivi:

• Per prima cosa, non è un servizio interno di Sielco. Questo significa che la valutazione viene effettuata da una realtà esterna indipendente, dando la garanzia al cliente di autentica neutralità dell’audit realizzato.
• È un audit professionale completo che restituisce una foto oggettiva dello stato di rischio di una azienda, sotto vari aspetti.
• Usa un linguaggio comprensibile e immediato, comprensibile da tutte le varie funzioni aziendali (consigliato l’articolo: i vantaggi del rating di cybersecurity per il CDA)
• È a tutti gli effetti un assessment, un’intervista alle figure aziendali dei vari livelli aziendali interessati. Non si installa nulla, non si accede alla rete.
• Ha un approccio totale sul sistema di gestione della sicurezza, correlato anche ai processi e al rispetto del Regolamento Europeo sulla Privacy – GDPR
• Si basa su un framework di fama internazionale, il framework del NIST. Una garanzia ulteriore sul valore internazionale dell’audit.

Quali sono le tue previsioni per il prossimo futuro?

È sempre difficile fare previsioni, ma la mia sensazione è che il tema cybesrsecurity stia diventando sempre più specialistico e che sarà necessario instaurare delle partnership sempre più verticali per progetti integrati volti alla sicurezza informatica. Una volta il barbiere era anche dentista (?? farei una metafora sul medico generico e lo specialista) ma oggi non è più così, serve specializzarsi. Le tecnologie evolvono in maniera importante, soprattutto se pensiamo all’intelligenza artificiale. Ovviamente l’evoluzione coinvolge tutti, sia chi attacca sia chi deve difendersi.

L’antivirus non è più la soluzione per tutto, le attività di vulnerability assesment sono necessarie ma non sufficienti… è necessario pensare alla sicurezza informatica come ad un sistema in continua evoluzione che necessita di pianificazione, monitoraggio e miglioramento continuo.

L’ideale sarebbe che ogni azienda avesse un proprio SOC (Security Operation Center). Fino a qualche tempo fa questo tipo di servizio era implementabile solamente dalle grandi aziende perché i costi erano importanti. Oggi si sta lavorando affinché questo tipo di tecnologia possa essere applicabile anche ad organizzazioni più piccole.

Col tempo sarà necessario puntare sempre di più sulla formazione continua: i lavoratori sono il primo bastione di difesa ed è fondamentale che siano aggiornati e informati su quelle che sono le minacce e su come comportarsi in caso di mail sospetto o quando si è sotto attacco.

Non è più possibile restare indietro perché il contesto attuale non lo consente. Bisogna tenere le antenne alzate, cercare di anticipare i trend del mercato e prodigarsi per diffondere tra le aziende la cultura della sicurezza informatica e dell’approccio basato sull’analisi del rischio.

Grazie mille Luca