Cyber-sicurezza, l’importanza del capitale umano

121

Quello della “cybersecurity” è un settore estremamente delicato e che registra continue evoluzioni, parallele a quelle di attacchi informatici sempre più sofisticati e aggiornati; star dietro ai tanti nuovi sviluppi in materia, così, diventa impresa non sempre facile per i non addetti ai lavori.

Da un punto di vista legislativo, per esempio, non tutti sanno che l’Italia ha deciso di intervenire secondo gli indirizzi del Quadro Strategico Nazionale, elaborando un vero e proprio piano ad hoc, il cosiddetto Piano nazionale per la protezione cibernetica e la sicurezza informatica. Per analizzare il piano, ma non solo, a Roma, lo scorso novembre, si è tenuta una interessante manifestazione, il Cyber Security 360 Summit, organizzato dal Gruppo Digital360, un evento a cui hanno partecipato esponenti istituzionali, del mondo dell’imprenditoria, dell’università e della ricerca.

Il primo tavolo tecnico ha centrato la sua attenzione proprio sul tema dei “Nuovi attacchi alle aziende”, moderato dal condirettore del CORCOM, Milla Fiordalisi. Ciò che ne è venuto fuori, come ha spiegato il delegato per la cyber security di Confindustria, Alberto Tripi, è la consapevolezza di attacchi numerosi, complessi, e che arrivano da più fronti: «Oggi la concorrenza può agire anche su binari illeciti, e questo rischia di mettere in crisi un settore commerciale che fa della qualità il suo punto forte, come il Made in Italy. È per questo che diventa fondamentale difenderci, non si può pensare di sentirsi protetti da un semplice firewall».

Regolamentazioni e nuove norme, oppure investimenti? La discussione sulla strada da seguire è sempre aperta. «Far crescere la cyber difesa – ha spiegato ancora Tripi – non significa necessariamente imporre più regole, anche perché speso queste rappresentano un peso, soprattutto per la piccola impresa, e rischiano di bloccarne lo sviluppo». Qual è la strada, allora? «Agevolazioni a supporto di attività di formazione, consulenza, adozione del cloud. È questa la via giusta, considerando che l’industria 4.0 si fonda proprio su cloud, Big Data e transazioni on-line. Abbiamo avuto modo di confrontarci su questo con il ministro Calenda, a cui abbiamo chiesto di inserire nel Piano Industria 4.0 questo genere di possibilità».

Da tempo è chiaro che l’imprenditoria, soprattutto quella che agisce sui settori delle telecomunicazioni, ma in generale tutto il tessuto produttivo del paese, dovrebbe cominciare a considerare la cyber-sicurezza non come un fardello, ma come un investimento fondamentale per tutelare la propria attività, e quindi la sua stessa esistenza futura. Di ciò ha parlato Pierluigi Paganini, CTO, CSE Cybsec e membro del grupo Enisa ETL: «LInternet of Things, ovvero il moltiplicarsi di oggetti connessi in tutti gli ambiti, business e consumer, aumenta la superficie e il rischio d’attacco. Tuttavia è la non conoscenza o non osservanza delle procedure di sicurezza da parte delle persone il vero punto debole di tante strategie di cyber difesa nel nostro paese. È vero che il quadro normativo (vedi l’introduzione del GDPR e la direttiva per la protezione delle infrastrututture, nda) è un supporto necessario, ma spesso le strutture aziendali non dispongono del know-how adeguato e possono diventare preda di vendor che propongono una pletora di soluzioni non sempre efficaci o comunque anti economiche».

Anche laddove le aziende hanno migliorato il proprio bagaglio di conoscenza nel corso degli ultimissimi anni – è stato spiegato durante il convegno – ciò non vuol dire necessariamente farsi trovare pronti davanti agli attacchi. Un settore ad alto rischio, ha illustrato Guglielmo Troiano, Senior Legal Consultant di P4I-Partners4Innovation, è quello dell’affidamento della gestione dati a fornitori esterni, la cui scelta non può assolutamente essere casuale, né meramente basata su criteri di convenienza economica, come la possibilità di usufruire di servizi gratuiti. Tanto sulla conoscenza delle normative, che dei provider, che dello sviluppo delle tecnologie, è fondamentale insomma l’esistenza di consulenze e percorsi formativi che aiutino le aziende a non “scivolare” su queste insidiose bucce di banana.

«Mettendo i dati sul cloud, per esempio – ha spiegato Stefano Volpi, Country Manager di Symantec la cyber difesa diventa più complessa perché si aggirano le reti corporate, ma ci si può ugualmente proteggere ampliando il raggio di azione della strategia di difesa e riorientando la spesa in modo razionale. Oggi c’è una rincorsa a difendere dati sempre più sparsi e alcune aziende rischiano di accumulare prodotti di cyber protection non legati da una precisa strategia».

Il problema principale, tuttavia, sembra rimanere la velocità e l’efficacia con cui il cyber-crime si evolve e si sviluppa, elaborando continue soluzioni per aggredire le difese dei singoli sistemi, tanto delle aziende private quanto delle amministrazioni pubbliche. Si parla da tempo del Ransomware come del nemico pubblico numero uno in questo senso, ma la verità è che si tratta di un rischio già superato: l’estorsore web più dannoso è oggi il Cryptoworm, mentre malware DDE si inseriscono e si diffondono attraverso programmi utilizzatissimi anche per chi fa un uso “tradizionale” del pc, come Word, Excel o PDF. I sistemi automatizzati, proprio per questo non sono sufficienti, riuscendo a bloccare appena il 30% delle minacce. È importante insomma che si investa in tecnici esperti e capaci, nel cosiddetto “capitale umano”, magari esternalizzando alcune competenze a professionisti e società che riescono a mantenere una visione di insieme sempre aggiornata.