Il cyber spazio è la nuova frontiera della criminalità. La cronaca registra sempre più spesso furti di dati e altri gravi episodi di sistematica violazione della grande rete. La sicurezza informatica è, perciò, d’importanza vitale, sia per la privacy di tutti noi sia per le imprese sempre più esposte ad attacchi mirati, come sottolinea in questa intervista Lorenza Bernasconi, CFO e Partner di Gruppo Sicurezza. Una società leader del settore che con la sua trentennale esperienza ha seguito la complessa evoluzione dei problemi legati alla sicurezza aziendale e privata, assicurando consulenza e servizi all’avanguardia.
Dalla tradizionale sicurezza meccanica alla sicurezza informatica che non ha più confini fisici, com’è cambiata la percezione sociale del pericolo? C’è un’adeguata sensibilità su questo tema?
“La sicurezza è un concetto che esiste da sempre e da sempre in costante evoluzione nel tempo. Oggi possiamo dire che coesistono diverse forme di sicurezza. Quella meccanica tradizionale, per esempio, non ha di certo esaurito il suo ruolo, perché c’è di fatto una richiesta continua da parte delle aziende di protezione fisica contro furti, sabotaggi, danneggiamenti e altre tipologie di reati. Questi stessi reati vengono ora commessi tramite nuovi sistemi, come Internet, senza che ci sia più un limite territoriale o geografico. Il numero di utenti connesso alla rete ha ormai superato il 50% della popolazione mondiale ed è in forte aumento. Possiamo, quindi, dedurre che i reati in rete aumenteranno di conseguenza e, probabilmente, con maggiore vigore rispetto agli anni passati, anche perché la crescita degli utenti della grande rete è stata inversamente proporzionale alla consapevolezza dei rischi informatici.
Dal nostro osservatorio notiamo che le aziende si sono già attivate sul fronte della Cyber Security, ma si deve fare ancora molto. Sicuramente manca tuttora una corretta sensibilizzazione delle risorse umane che operano nelle imprese, esse rappresentano invece un elemento fondamentale per elevare il livello di sicurezza in un’azienda. Nelle organizzazioni aziendali, il termine Cyber Security non deve essere isolato in un contesto prettamente di infrastruttura informatica (ICT), ma deve poter trovare la sua collocazione anche nel settore legale, organizzativo, operativo e ovviamente strategico. Constatiamo, infatti, che tutti i reati informatici hanno sempre un impatto nel mondo reale e, quindi, possono rappresentare anche un importante danno economico e reputazionale.
Ritengo che molti utilizzatori quotidiani di Internet non sono ancora ben consapevoli delle insidie e dei veri rischi a cui vanno incontro. Credo che per essere efficaci nel Risk Management, si debbano sensibilizzare le persone già a partire dalle scuole e dalle università, coinvolgendo in questo lavoro di sensibilizzazione le generazioni dei Millennials e la generazione Z (i nati dopo il 2000), i quali danno per scontato che tali sistemi siano privi di insidie”.
Il cyber spazio è la nuova frontiera della criminalità. In che misura le aziende ticinesi sono consapevoli dei danni che può provocare un attacco informatico?
“C’è una consapevolezza diversa a dipendenza dei differenti settori. Nelle banche e nei centri di ricerca, ad esempio, si è investito molto nella sicurezza. Altre aziende sperano, o credono, di non essere mai vittime di un attacco hacker, perché pensano di non essere dei bersagli interessanti. Nulla di più errato, poiché in ogni impresa si veicolano dati sensibili: strategie e progetti, bilanci e budget, informazioni di clienti e fornitori. Da un’ultima ricerca condotta dalla Cc-Ti è emerso che il 20% delle aziende è stato attaccato, ma solo il 60% delle imprese intervistate ha effettuato un Risk Assessment per identificare le vulnerabilità della struttura informatica. Penso che ci sia ancora molto da fare per tramutarsi in attori capaci di gestire un cambiamento epocale in cui vogliamo essere tutti parte attiva. A volte le aziende non sanno neppure di essere state oggetto di un attacco e non conoscono le loro vulnerabilità. Un progetto di Cyber Security deve valutare numerosi elementi che non sempre sono solo all’interno del perimetro aziendale. Basti pensare alle aziende fornitrici dislocate anche fuori dai confini nazionali che trattano dati sensibili del cliente stesso. Da anni il nostro Gruppo accompagna le aziende nell’incremento del livello di sicurezza, spesso sottostimato e visto come mero costo. Invece, proteggere le informazioni sensibili e strategiche di un’impresa ne accresce notevolmente il valore, con ricadute positive per il mercato di riferimento”.
Oltre all’uso di particolari hardware e software di difesa, quanto sono importanti la preparazione del personale e una specifica cultura aziendale contro la cyber criminalità?
“Sensibilizzazione e istruzione delle risorse umane sono cruciali per una sicurezza ottimale. Ma, troppo spesso, non c’è la giusta attenzione per queste regole comportamentali. Il nostro Gruppo crede fortemente nella formazione anche tramite piattaforme di e-learning che istruiscono e sensibilizzano i collaboratori, con poco impatto sui costi aziendali. La formazione continua è fondamentale per aggiornare il personale sui nuovi sistemi di attacco e sulla protezione dei dati”.
Più aumentano le opportunità offerte dalle nuove tecnologie dell’informazione e della comunicazione, tanto più sembrano crescere i pericoli per la sicurezza informatica. È possibile difendersi o bisogna convivere con questi pericoli?
“Ci si può difendere, ma bisogna anche convivere col pericolo di un cyber attacco. Le tecniche sono più sofisticate e gli attacchi aumentano. Sempre più aziende sono esposte a questi rischi perché usano la rete per il loro business per gestire i dati e comunicare. Ogni impresa si serve, inoltre, di infrastrutture esterne che possono a loro volta essere attaccate. Si può raggiungere un buon livello di protezione, ma si devono continuamente monitorare e aggiornare le proprie contromisure con un approccio mirato, magari con attività di Cyber Intelligence e di prevenzione. Tornando alla ricerca della Cc-Ti, è emerso che quasi il 70% delle aziende non dispone di alcun strumento predittivo per misurare le future minacce. Direi che si naviga ancora a vista, incrementando dei costi imprevisti e riducendo la competitività aziendale”.
Intervista a Lorenza Bernasconi, CFO di Gruppo Sicurezza SA, a cura della Cc-Ti