Secondo il Global Risks Report 2022 del World Economic Forum, giunto quest’anno alla diciassettesima edizione, tra le sei direttrici (ripresa economica divergente e diseguale, transizione climatica, sicurezza digitale, pressioni migratorie, affollamento dello spazio, resilienza pandemica) lungo le quali si concentrano le potenziali problematiche identificate da esperti di mercato e decision maker aziendali, quelle di natura sanitaria e ambientale hanno generato le maggiori preoccupazioni.
“Un risultato comprensibile se si considera lo stato di emergenza pandemica in cui ci troviamo ancora oggi, dopo due anni” osserva Andrea Lambiase, Head of Management Consulting e Data Protection Officer di Axitea, società italiana di sicurezza, specializzata nello sviluppo di soluzioni integrate e personalizzate. Eppure, il rischio legato alla sicurezza digitale non è diminuito, anzi. Secondo il Rapporto Clusit 2021, gli attacchi informatici sono fortemente cresciuti nel corso dello scorso anno, sia a livello quantitativo che qualitativo, per la gravità del loro impatto. In parallelo, sono aumentate le perdite derivanti dalle azioni criminali: da una stima di 1 trilione di dollari per il 2020 a 6 trilioni per il 2021. Restringendo l’analisi solo all’Italia, la media mensile di attacchi definiti “gravi” è aumentata del 30%, da 124 a 170, tra il 2018 al 2021.
Indice degli argomenti
Sicurezza in primo piano, i responsabili: istituzioni e security provider
Di conseguenza, riflette Lambiase, sembra che “l’esplodere di altre emergenze, percepite come più critiche in questo momento potrebbe portare a sottovalutare quello che rimane una costante degli ultimi anni, ovvero il rischio informatico. Perché questo non succeda, è necessario uno sforzo importante sia da parte delle istituzioni che dei security provider, che devono mantenere il tema della sicurezza in primo piano”.
Se le istituzioni possono farlo con normative dedicate e programmi di incentivazione, per spingere le organizzazioni ad adottare un giusto approccio alla sicurezza e di conseguenza le tecnologie adeguate; un ruolo altrettanto importante sarà quello giocato dai fornitori di soluzioni di sicurezza, che devono saper comunicare in modo corretto, elevando il livello di consapevolezza presso le aziende con cui si interfacciano. In questo senso, la posizione dei security provider risulta ancor più importante, perché si trovano ad operare all’incrocio esatto dei rischi sociali, economici e tecnologici che emergono dal report.
Per di più, la sicurezza dei dati e delle infrastrutture non impatta più solamente sul singolo processo, nemmeno sulla singola organizzazione. Ma, con l’emergere di una interdipendenza sempre più stretta tra ambienti economici e produttivi una volta ben distinti tra loro, le potenziali ricadute di un attacco cyber portato a una struttura di rilievo – una grande azienda, una utility, un fornitore di servizi pubblici – possono essere incalcolabili, andando a impattare su aspetti non strettamente tecnologici, come la disponibilità di servizi essenziali per gli utenti o i cittadini.
La sicurezza deve diventare una preoccupazione del management aziendale
Il ruolo della sicurezza è cambiato, drasticamente. E con esso deve ora cambiare il modo in cui la sicurezza viene comunicata e considerata, dai provider stessi ma anche da tutti coloro abbiano un ruolo di responsabilità nella propria organizzazione. È ormai chiaro che la sicurezza digitale non è più un aspetto tecnologico, ma è un elemento di business, e anche molto rilevante. Un attacco informatico non è fine a sé stesso, ma ha importanti ricadute economiche, perché interrompe i processi aziendali e blocca le comunicazioni con clienti e partner. Nella peggiore delle ipotesi, quella del ransomware, rende inaccessibili i dati aziendali, che rappresentano l’asset principale di ogni organizzazione.
Le aziende devono affrontare questo scenario in modo appropriato, forti di una visione di insieme che deve tenere presente gli aspetti tecnologici, ma anche e soprattutto quelli organizzativi e procedurali. Un programma efficace di sicurezza aziendale non dipende più solo dalle soluzioni selezionate, ma dal disegno dell’architettura complessiva e dal comportamento dei singoli utenti coinvolti nei processi. Questo genera un altro potenziale aspetto di criticità, prettamente organizzativo. Quanto è possibile controllare i comportamenti delle persone per tutelare la sicurezza senza superare i limiti imposti dalle varie normative su privacy e confidenzialità? La risposta è un equilibrio che può derivare solamente da una visione complessiva dell’intera struttura.
“In altre parole, proprio per la sua criticità, la sicurezza deve diventare una preoccupazione del management aziendale, non più solo degli specialisti informatici. Deve essere inserita nei processi aziendali già a livello di pianificazione, in modo da potersi rivelare efficiente ed efficace, oltre che sostenibile” conclude Lambiase.
Immagine fornita da Shutterstock
@RIPRODUZIONE RISERVATA
