La cybersecurity come processo aziendale
Siamo ormai a un passo dalla nuova legge federale sulla protezione dei dati (LPD), la tanto attesa GDPR svizzera. Già, perché la Svizzera è un hub strategico al centro dell’Europa non solo per il transito delle merci, ma anche e soprattutto per lo scambio di informazioni strategiche, sempre più importanti nella nuova società digitale.
Le ipotesi sulla sua reale definizione si susseguono, ma l’unico punto fermo è che il paradigma “by design” sarà determinante per uniformarsi alle nuove regolamentazioni europee che ci circondano, che di fatto riposizionano in modo preponderante il valore della cybersecurity, in rapporto alla capacità di un’azienda di reagire tempestivamente e adeguatamente ad un incidente informatico.
A livello europeo, e in particolare in Italia, il 26 giugno del 2018 è entrato ufficialmente in vigore una nuova e dirompente direttiva, di nome Network Information Security (NIS), che per la prima volta in assoluto suggerisce alle aziende, per non dire impone, nuove misure di preparazione, risposta e recupero dei servizi a seguito di incidenti informatici, la definizione di un piano di valutazione dei rischi (IRP) e nuovi programmi di formazione e sensibilizzazione continua in materia di sicurezza informatica.
In questo modo la cybersecurity evolve e grazie a queste indicazioni rientra a tutti gli effetti nella casta dei processi vincolanti per la produzione aziendale. Quindi non più solo strumenti classici per evitare intrusioni indesiderate, ma una filiera ricca di attività e competenze interdisciplinari che tocca tutti i reparti, dalla progettazione alla vendita.
Per quanto siano necessari, questi strumenti non bastano a fronteggiare il mercato del crimine informatico, resiliente e sempre in evoluzione, il quale dispone liberamente di risorse tecniche gratuite, basti pensare alla piattaforma GitHub in cui trovare script e reti neurali di ultima generazione.
In Svizzera sono ancora molte le aziende a non conoscere il NIS e il suo impatto nell’intero eco sistema digitale, ma è solo questione di tempo, soprattutto per i cantoni cross-border come il nostro, che sempre più interagiscono e collaborano con aziende della comunità europea.
Cosa fare quindi per evitare di perseverare con l’idea che la cybersecurity sia un costo invece di un investimento? Cosa fare per convincere gli amministratori delegati ad abbandonare le false credenze che considerano la cybersecurity come la mera installazione di antivirus e firewall?
Un buon punto di partenza è porsi una domanda chiara, diretta e pragmatica: quanto e come siamo preparati in azienda, dall’amministratore delegato fino alla segretaria, a gestire un improvviso incidente informatico secondo i principi cardini di rilevazione (Detection) e reazione (Response)?
Conoscerli è sempre più vincolante, applicarli correttamente richiede un nuovo processo dal quale anche in Svizzera non potremo più prescindere. Ecco perché avvalersi di un accompagnamento professionale tecnico preparato a gestire la cybersecurity come un processo, che per cultura e attitudine è allo stato dell’arte con le nuove regolamentazioni in vigore, è il miglior modo per fare il salto di qualità, ridurre i costi e minimizzare i rischi cyber che potrebbero generare sanzioni per l’azienda in caso di scarsa preparazione.
Testo a cura di Lorenza Bernasconi, CFO Gruppo Sicurezza SA, Savosa