Cosa può fare il reparto IT per valorizzare il proprio ruolo nell’ambito del contrasto al Cyber-Crime.
Nonostante ormai sia sempre più diffusa la consapevolezza dei rischi causati dagli attacchi informatici, le organizzazioni tentennano ancora quando si tratta di pianificare strategie ad hoc per garantire il corretto grado di protezione aziendale e combattere l’attività dei cyber-criminali.
La pianificazione strategica della sicurezza aziendale non prevede come unico antidoto la tecnologia: non basta infatti fare qualche investimento hardware o software per proteggersi dagli attacchi che, ricordiamo, spesso vengono sferrati, per colpa o per dolo, anche dagli stessi collaboratori interni all’azienda.
Non basta anche perché i cyber-criminali spesso non utilizzano chissà quali tecnologie sofisticate, ma cercano piuttosto di individuare l’anello debole della “catena aziendale”, sfruttando l’ingenuità e le debolezze dell’essere umano per arrivare al proprio obiettivo.
Per questo motivo, sempre più aziende stanno portando avanti piani di azione mirati alla sensibilizzazione dei propri dipendenti in termini di sicurezza informatica. Purtroppo, però, l’ingenuità e le debolezze umane di cui approfittano i cyber-criminali sono le stesse che fanno sì che qualche dipendente ignori, più o meno consapevolmente, le policy e le linee guida introdotte dall’azienda in termini di protezione.
IT AWARENESS, UN BENE DI VALORE
Risulta evidente l’urgenza dell’“evangelizzazione”, di concentrare cioè i propri sforzi sulla diffusione della consapevolezza circa l’importanza delle azioni dei singoli rispetto al bene dell’azienda nel suo insieme.
Il motore di questo cambiamento non può che essere l’IT aziendale che, grazie al suo ruolo chiave nella sfida alle minacce informatiche, può oggi evolvere da mero centro di costo ad asset di estremo valore per la tutela del benessere dell’azienda.
Ne consegue che le figure del CIO e del CISO stiano acquisendo una responsabilità sempre più elevata sia in termini legali ed etici che di obiettivi di business, diventando parte integrante delle governance aziendali.
È pertanto necessario che l’IT adegui il proprio registro al linguaggio del business per riuscire a passare il valore del proprio operato. La sicurezza informatica e, in generale, la tecnologia non apportano tout court un incremento del fatturato annuo aziendale, ma rappresentano il mezzo imprescindibile per preservare l’azienda e permetterle di continuare a crescere.
SICUREZZA INFORMATICA: UN APPROCCIO OLISTICO
Fortunatamente, si è già registrato l’ingresso della Cyber Security nelle top priority delle organizzazioni a livello mondiale: l’indagine 2019 Global Cyber Risk Perception Survey, promossa da Marsh e Microsoft, mostra infatti un aumento della consapevolezza dei rischi derivanti dai cyber-attacchi e dei danni da essi provocati. Infatti, nel 2019 l’argomento è finito sui tavoli di governance aziendale del 79% delle aziende, rispetto al 62% del 2017.
La stessa indagine ci rivela un altro aspetto particolarmente interessante. Le aziende sono state intervistate su temi quali valutazione e misurazione delle minacce informatiche, prevenzione e capacità di mitigazione e risposta per gestire gli incidenti e, infine, capacità di ripristino delle normali operazioni con tempi di fermo o perdite tendenti al minimo. Gli esiti di tale ricerca hanno evidenziato una totale mancanza di fiducia delle imprese nella loro capacità di mostrarsi pronte e resilienti in caso di attacco.
In questo contesto, oggi più che mai l’IT gioca un ruolo chiave che si sostanzia in un approccio olistico alla sfida culturale posta dal cybercrime, che preveda l’adozione di un mix sapientemente integrato di tecnologia, processi e persone.
Quanto alla tecnologia, è bene che le organizzazioni considerino attentamente gli investimenti in nuove soluzioni anche sulla base dell’infrastruttura in essere, ricercando un’integrazione che permetta la protezione dell’azienda senza un aumento della complessità di gestione.
Per quanto riguarda i processi, bisogna pianificare a monte una strategia di sicurezza che sia in grado di crescere ed evolvere insieme al business, senza che sia necessario stravolgerla a ogni piccolo cambiamento aziendale.
In ultimo, le persone ricoprono un ruolo fondamentale nella sicurezza dei dati sensibili aziendali. L’urgenza di innalzare il livello di consapevolezza relativo ai possibili rischi è assolutamente reale.
REPARTO IT E DIPENDENTI: UN RAPPORTO CRUCIALE PER LA SICUREZZA INFORMATICA
Data la vastità dei rischi connessi alla tecnologia, non si può certo ritenere l’IT l’unico responsabile in caso si subisca un attacco.
Di fatto, l’errore umano rappresenta spesso il fianco prestato ai cybercriminali per riuscire nei loro intenti malevoli. La storia recente è piena di casi di attacchi informatici veicolati tramite attacchi Phishing, download ingannevoli sul web, furto di credenziali.
Di fondamentale importanza è quindi il rapporto dell’IT con gli altri reparti aziendali, cui deve offrire formazione perché siano in grado di identificare e segnalare eventuali tentativi di attacco.
Non è più sufficiente creare e distribuire opuscoli aziendali per prevenire attacchi informatici. È necessario avviare un processo continuo di formazione dedicato ai colleghi, perché diventino la prima e più importante linea di difesa dell’azienda.
Autore dell'articolo:
Elena Corradi
LinkedIn
