Stare al passo per garantire la sicurezza delle informazioni aziendali non è impresa facile, soprattutto nell’era dell’industria 4.0. Secondo il sito britannico The Register, nella prima metà del 2017 sono state segnalate 918 violazioni di dati nel mondo tanto che molte società, da multinazionali come Equifax a Facebook, che ha subito una violazione di 87 milioni di utenti, fino alla Banca centrale europea, nessuna è del tutto immune ai rischi della cybersecurity. Lo conferma anche l’Agenzia europea per la sicurezza delle reti e dell’informazione (Enisa) secondo cui la complessità degli attacchi informatici sta aumentando soprattutto in considerazione dell’anonimato fornito dalle valute digitali e altre infrastrutture che permettono di eludere l’identificazione degli utenti. In questo panorama di incertezza, una grossa minaccia è rappresentata dai malware (qualsiasi programma informatico usato per disturbare le operazioni svolte da un computer, rubare informazioni sensibili o accedere a sistemi informatici privati): e questo perché, sebbene il numero di questi attacchi sia sensibilmente diminuito, le sue tecniche sono oggi molto più sofisticate.
In che modo quindi è possibile mitigare le minacce informatiche? Cosa possono fare i dirigenti e i consiglieri di amministrazione per garantire la sicurezza delle informazioni riservate alla luce della digitalizzazione delle aziende? Lo sa bene Sherpany, realtà leader nello sviluppo software di ultima generazione, per la gestione ottimale delle riunioni di direzione e del CdA, che spiega a Forbes come prevenire e gestire il fenomeno degli attacchi informatici nell’era digitale. Sherpany ha un’esperienza pluriennale nel controllo e protezione dei dati sensibili dei propri clienti: la gestione è ovviamente conforme ai regolamenti europeo e svizzero sulla protezione dei dati (GDPR e DSG) e inoltre possiede i propri certificati ISO 27001 e ISAE 3000, che garantiscono la conformità ai più elevati standard di sicurezza internazionali per garantire la massima conformità.
“Se in passato i rischi per la sicurezza e il cyber erano una minaccia solo per le società finanziarie e per i governi, questi sono diventati universali, influenzando qualsiasi organizzazione, che sia digitale e connessa a Internet. Inutile dire che i crescenti problemi di sicurezza sono tra i fattori che tengono in allerta dirigenti e membri del consiglio di amministrazione. Affinché qualsiasi azienda possa comprendere e valutare in modo efficace la sicurezza e i rischi informatici, è necessario disporre di un piano di cyber-rischio che vada oltre gli hacker e i malware. Il piano deve incorporare sicurezza dell’infrastruttura, controlli e auditing, protezione dei dati e sicurezza dei servizi mobili“, spiega Marc Walzer, security officer di Sherpany.
Il settore privato europeo, e in particolare quello bancario, sono stati i principali testimoni di questo fenomeno. È il caso della rete PlayStation Network di Sony e di UniCredit, che lo scorso anno ha subito una delle più grandi violazioni nella sicurezza bancaria europea, subendo l’accesso non autorizzato ai dati da oltre 400mila account clienti. In certi casi, però, aggiornare il proprio sistema informatico non basta ed ecco che entra in gioco la legge con le organizzazioni europee, in particolare quelle del settore finanziario, che hanno risposto con norme ad hoc per contenere gli attacchi (si pensi al GDPR, regolamento dell’Unione europea in materia di trattamento dei dati personali e di privacy).
Un altro aspetto degno di nota e quello della responsabilità: chi risponde in questi casi? L’amministratore delegato è in ultima analisi quello ritenuto responsabile nei confronti del cda per la gestione e l’attuazione della strategia di impresa. Ad ogni modo, è fondamentale che i CISO (chief information security officer) presentino potenziali rischi e piani di risposta alla dirigenza e al consiglio di amministrazione, affinché possano concordare l’appropriata strategia di sicurezza per l’intera organizzazione (Gartner, compagnia di informazione tecnologica e ricerca, riferisce che entro il 2020 il 100% delle grandi imprese sarà invitato a riferire al proprio cda sulla sicurezza informatica almeno una volta all’anno).
Ma oltre a lavorare a stretto contatto con il CISO, secondo Marc Walzer, altri step utili includono la risposta a queste domande essenziali:
Quali sono i passi da compiere per monitorare adeguatamente i potenziali rischi?
La società ha le necessarie difese tecniche per prevenire gli attacchi?
Quali sono le politiche e le procedure in caso di minaccia informatica e / o attacco?
I dipendenti sono informati sui rischi e su come reagire in una situazione di pericolo?
A risentire degli attacchi informatici sono soprattutto i costi che gravano sui conti dell’azienda. Basti pensare che, stando a un report di Accenture, si stima che a livello mondiale possano essere 5.200 miliardi di dollari i costi addizionali e i mancati ricavi delle aziende nel corso dei prossimi cinque anni dovuti ai cyber-attacchi. L’indagine, che ha coinvolto oltre 1.700 ceo e top manager di aziende in diversi Paesi, segnala come il cybercrime può compromettere le attività aziendali, la crescita e l’innovazione del business, nonché l’introduzione di nuovi prodotti e servizi. Ed evidenza come il progresso dell’economia digitale sarà seriamente compromesso se non ci sarà un sostanziale miglioramento della sicurezza su Internet (più della metà dei dirigenti intervistati, il 56%, vedrebbe con favore l’entrata in vigore di norme più rigorose introdotte da istituzioni o autorità governative). Inoltre, i tre quarti di essi (76%) evidenziano che gli aspetti di sicurezza informatica sono sfuggiti al controllo a causa di nuove tecnologie come l’Internet of Things (IoT) e l’Industrial Internet of Things (IIoT).
Altro dato interessante, che emerge da un report di Ernst & Young, riguarda la tipologia di informazione che attira maggiormente gli hacker informatici: al primo posto, con una percentuale del 17%, troviamo i dati relativi al cliente, poi l’informazione finanziaria e i piani strategici di un’azienda (entrambi al 12%) e le password degli utenti (11%).
Ma come reagire quando si verifica un attacco informatico? Come rimediare? “È fondamentale agire in modo completo e rapido quando è stata scoperta una violazione. In primo luogo, è necessario mobilitare il team di risposta agli incidenti per valutare la minaccia e/o eventuali perdite. In secondo luogo, è necessario garantire la continuità operativa e, al contempo, proteggere i sistemi che sono stati attaccati. In terzo luogo, è necessario condurre un’indagine che comprende un’ulteriore analisi del rischio e riferire sui risultati in caso di un attacco. Infine, è necessario comunicare con tutte le parti interessate, a partire dal top management e dal consiglio di amministrazione dell’organizzazione. Queste fasi non sono necessariamente sequenziali e possono essere attuate in parallelo”, conclude Walzer di Sherpany.
Bibliografia
- Leyden, John. More data lost or stolen in first half of 2017 than the whole of last year. The Register. September 20, 2017
- Honan, Brian. European Central Bank Hacked. CSO. July 31, 2015.
- Badshah, Nadeem. Facebook to contact 87 million users affected by data breach. The Guardian. April 8, 2018.
- ENISA Threat Landscape Report 2017: 15 Top Cyber-Threats and Trends.
- Sirletti, Sonia and Robinson, Edward. Hackers Breach 400,000 UniCredit Bank Accounts for Data. Bloomberg. July 26, 2017.
- Armerding, Taylor. The 17 biggest data breaches of the 21st century. CSO. January 26, 2018.
- Takahashi, Dean. Surprise: Sony faces class action lawsuit on PlayStation Network breach. Venturebeat. April 27, 2011.
- Walls, Andrew. Leading Enterprise Security & Risk. Gartner.
- A cybersecurity guide for directors. Dentons.
- EY Global Information Security Survey 2018-19
Per altri contenuti iscriviti alla newsletter di Forbes.it CLICCANDO QUI .
Forbes.it è anche su WhatsApp: puoi iscriverti al canale CLICCANDO QUI .