Il quadro della sicurezza da una parte continua ad evidenziare episodi di furti di dati e denaro “ventennali“, dall’altra una diffusione sempre maggiore dei danni al business delle aziende. Due fattori che impattano sulla strategia in materia di cybersecurity delle aziende italiane, fotografati nel Barometro Cybersecurity 2019 e che sottolineano la necessità di mettere in sicurezza l’intera rete dei fornitori di una azienda stessa.

Michele Colajanni, professore Uni. Modena e Reggio Emilia, presidente Eucacs e direttore Cyber Academy
Michele Colajanni, professore Uni. Modena e Reggio Emilia, presidente Eucacs e direttore Cyber Academy

Ne parliamo con Michele Colajanni, professore di Sicurezza Informatica all’università di Modena e Reggio Emilia, oltre che presidente di Eucacs e direttore Cyber Academy. “Oggi si sta riscontrando soprattutto nella parte imprenditoriale e produttiva del nostro Paese un attacco, molto più grave sotto certi punti di vista del furto di dati, che blocca l’operatività. E se da una parte può essere molto difficile valutare e quantificare il danno di un furto di informazioni, il danno che proviene da un blocco dell’operatività è facilmente quantificabile dal top management, che però ne acquista consapevolezza solo dopo l’evento”.

Sicurezza preventiva

Entra in gioco le necessità di fare sicurezza preventiva “un messaggio difficile da far passare nel nostro Paese” perché non sempre viene recepita in modo corretto, mancando metriche chiare per calcolare il Roi sugli investimenti in sicurezza e figure in azienda che si occupino in modo specifico dei rischi cyber.
“Nelle aziende italiane c’è chi si preoccupa dei rischi finanziari, commerciali, marketing, ma non c’è nessuno predisposto a gestire i rischi informatici, presi in carico in maniera un po’ stravagante, occasionale, o non gestiti assolutamente in modo preventivo”
. L’azienda deve prevedere un sistema di gestione della sicurezza declinato in soluzioni tecnologiche, procedurali, che potranno essere esternalizzate o interiorizzate.

Infrastrutture critiche

Forte rimane il pericolo di sabotaggio o di spionaggio cybernetico per le infrastutture critiche, dove gli operatori di servizi essenziali sono tipicamente grandi aziende, entità ben strutturate, con sensibilità sul tema a partire dal mondo finanziario, energetico, e dei trasporti. “Devo dire che la recente legge sul perimetro di sicurezza nazionale non fa altro che rafforzare la necessità di mettersi in sicurezza, aggiungendo anche obblighi per l’ambito enterprise che deve disporre di competenze e risorse tecnologiche. Il problema è che l’azienda singola non esiste più, è parte di una catena di fornitori. La questione oggi non sta tanto nella struttura dell’infrastruttura critica, quanto nei fornitori che non hanno ancora acquisito consapevolezza dei rischi: chi non si è attrezzato dal punto di vista della sicurezza informatica tra poco uscirà dal mercato, perché non potrà neanche più partecipare ai bandi di gara per le infrastrutture critiche”.

Supply chain

La sicurezza lungo tutta la  supply chain non è solo un percorso che richiede tempo e soluzioni tecnologiche ma anche change management, con la presa in carico da parte di un responsabile dei rischi informatici, quotidianamente.

In questa direzione l’Università di Modena e Reggio Emilia sta lavorando a nuovi corsi di laurea, master, iniziative speciali come la Cyber Academy molto focalizzata sulla tecnologia,  e a iniziative realizzate con la Bologna Business School per quanto riguarda la formazione di Chief information security officier (Ciso). “Bisogna muoversi con figure a tre livelli: ci sono persone che devono pensare in maniera manageriale alla sicurezza, altre che dovranno implementare la sicurezza (cyber architect), e infine quelle che dovranno verificare se gli impianti sistemici o le soluzioni tecnologiche sono sufficientemente adeguate. L’università oggi si è mossa su tutti questi tre livelli e sono fiducioso che usciranno le competenze sufficienti e necessarie ma ad oggi non bastano: la richiesta sul mercato di queste figure professionali è altissima e destinata ad aumentare”.

Ma, in pratica, le aziende cosa chiedono a un professore esperto di tematiche di cybersecurity?  Non solo formazione ma risoluzione di casi concreti. Per esempio ecco il messaggio che mi è arrivato stamattina: “Buongiorno professore, sono tal de tali, amico di tal de tali, amministratore delegato di questa azienda, abbiamo subito un attacco informatico molto sofisticato mi può aiutare? Grazie’’.
Nella videointervista maggiori dettagli.

Leggi tutti gli approfondimenti dello Speciale Cybersecurity 2019

 

© RIPRODUZIONE RISERVATA