Produttività, Privacy, Protezione

Come e perché la trasformazione digitale impone una nuova cultura aziendale di sicurezza

Per Gartner entro 3 anni il 95% degli attacchi sarà colpa dei comportamenti sbagliati degli utenti. Il costo? Nel caso del furto di dati sensibili, la sanzione amministrativa oggi va da 10mila a 120mila euro. Bissel (Accenture): occorre un approccio specifico per ogni settore che tuteli l’intera catena del valore. Bechelli (Clusit): il digitale impone una comprensione più ampia dei vantaggi, ma anche dei rischi del cyberspazio

Pubblicato il 28 Nov 2017

sicurezza1

La trasformazione digitale offre un livello di comunicazione e di interazione che non ha precedenti nella storia. Il fenomeno dell’omnicanalità riguarda le 6C di un’utenza globale: Colleghi, Collaboratori, Competitor, Clienti, Cittadini e Consumatori… Gran parte della popolazione oggi è connessa: smartphone-dotata, ma anche tablet-dotata e pc-dotata. La consumerizzazione dell’IT ha portato i dipendenti a utilizzare con disinvoltura schermi touchscreen e menu di navigazione. Crescono le installazioni interattive: totem, chioschi, tavoli, specchi, pareti portano a bordo una nuova intelligenza applicativa. Tutto questo senza corsi di formazione aziendale perché a vincere è un passaparola bimodale (off line e online).

L’abitudine a utilizzare Internet in tutte le sue forme ha inaugurato l’economia delle App, favorendo anche una più immediata comprensione dei vantaggi associati al cloud. Con tutte le conseguenze annesse e connesse.

Secondo Gartner da qui al 2020 il 95% degli attacchi alla sicurezza sarà colpa dei comportamenti sbagliati degli utenti (Fonte: Gartner Top Prediction for IT Organizations and Users for 2016 and Beyond). Gli analisti puntano l’attenzione sull’ingenuità delle persone che, deviate dai vantaggi e dalla semplicità delle tecnologie, non si rendono conto dei rischi e nemmeno conoscono le regole base della sicurezza rispetto alla gestione delle identità e degli accessi. Dal furti di dati alla paralisi dell’attività, lo scotto da pagare è ormai noto e dovrebbe far riflettere l’intero board aziendale.

Prendiamo il caso di un’organizzazione che in Italia subisca un attacco informatico da parte di alcuni hacker che riescono ad accedere ai dati sensibili e a diffonderli via web. Al momento, se gli interessati fanno ricorso al Garante della Privacy e si scopre che il titolare del trattamento (l’azienda) non aveva adottato le misure minime di sicurezza per la protezione dei dati, prescritte all’art. 33 del Codice della Privacy (CDP), la sanzione amministrativa va da un minimo di 10.000 euro a un massimo di 120.000 euro, comminati dal Garante e senza passare dall’autorità giudiziaria, ex art. 162 c. 2-bis CDP. In sede di giudizio penale la sanzione va a sommarsi  all’Ex art. 169 CDP per cui è previsto l’arresto fino a 2 anni (a questo link, la tabella di dettaglio)

Ma le aziende sanno quanto costa il cybercrime?

Quanto costa il cybercrime alle aziende? Gli analisti parlano di 11,7 milioni di dollari per azienda, con un aumento del 23% rispetto ai 9,5 milioni di dollari registrati nel 2016 e del 62% nell’ultimo quinquennio (Fonte: “Cost of Cyber Crime Study” – Accenture e Ponemon Institute, Settembre 2017). In media un’azienda subisce 130 violazioni all’anno (+ 27,4% rispetto al 2016) che si traducono in infiltrazioni nella rete o nei sistemi aziendali.

Kelly Bissell, Managing Director di Accenture Security

“È necessario che le organizzazioni adottino una strategia di sicurezza dinamica e agile – afferma Kelly Bissell, Managing Director di Accenture Security -, che costruisca resilienza dall’interno e non si focalizzi sulla difesa del perimetro. Occorre inoltre un approccio che sia specifico per ciascun settore e che tuteli l’intera catena del valore dell’azienda. Le conseguenze del cybercrime che le aziende subiscono a causa dei crimini informatici sono sempre più costose e devastanti, sottolineando l’importanza crescente di una pianificazione strategica e di un monitoraggio costante degli investimenti in sicurezza”.

Riportata ai suoi fondamentali, la questione è semplice: la gestione della sicurezza associata alla trasformazione digitale oggi non può essere più scaricata solo sui CIO o sui CISO che, facendo conto dei budget messi a loro disposizione, fanno miracoli per garantire la business continuity, la tutela dei dati e la protezione delle risorse aziendali.

Serve una consapevolezza più ampia e funzionale di cosa significhi risk management nell’era della trasformazione digitale, della Web Economy, delle aziende liquide e di tutti quegli orizzonti di servizio in continuo divenire che portano più fatturato ma anche più margini di rischio. È ora di lavorare a livello utente, offrendo un po’ più di cultura ma anche soluzioni più puntuali in caso di perdite di dati e di fermi informatici. Serve maggiore consapevolezza a tutti i livelli dell’organizzazione.

Quando il cloud è l’abilitatore della trasformazione digitale

Luca Bechelli

La questione è che non c’è trasformazione digitale senza una governance delle infrastrutture e dei servizi. L’uso del cloud, ad esempio, cresce perché economicamente più comodo, ma quasi 7 aziende su 10 nutrono ancora molte riserve. Secondo l’Osservatorio Cloud e ICT as A Service del Politecnico di Milano il 67% delle imprese indica come principale fattore di inibizione la sicurezza e la privacy.

Eppure la sicurezza viene ancora considerata una componente addizionale perché le aziende seguono ancora un approccio banalmente costruttivo: prima creo l’infrastruttura e dopo penso alla sicurezza. Questa protezione non nativa, però, ha un impatto notevole sulle aziende.

“L’Italia è uno dei Paesi in cui c’è una percentuale di adozione del cloud tra le più alte in Europa (siamo i secondi tra tutti i Paesi) – spiega Luca Bechelli, Membro del Comitato Tecnico Scientifico, CLUSIT e consulente indipendente per la sicurezza informatica -. Eppure, rispetto al cloud, ci sono ancora molti limiti a livello di vision. Le aziende che ricorrono a servizi cloud, spesso non lo fanno nel modo corretto. A questo si aggiunge il problema dello shadow IT. Quante volte i nostri colleghi, in buona fede, si portano il lavoro a casa inviando una mail d’ufficio sul proprio account privato o caricandosi su un servizio di file sharing il lavoro (magari perché non gli abbiamo fornito un’alternativa aziendale valida per fare questo mestiere)? Da qui le preoccupazioni principali delle aziende: da recenti studi è emerso che il 64% delle aziende sono preoccupate di non sapere dove sono dati importanti, perché hanno perso di vista il modo in cui le informazioni viaggiano. Insomma, lo scenario effettivamente caratterizzato da molti problemi e da un approccio disfunzionale. La questione è che l’attaccante può essere qualcuno che sta a centinaia di km da noi, ma la maggior parte degli attacchi oggi si determina perché l’utente fa click”.

Spostare la complessità non significa dimenticare la sicurezza

Vero è che il cloud rende talmente efficiente e facile agli utenti l’uso dei sistemi da fornire la percezione di una riduzione delle complessità e questo si traduce troppo spesso in un’adozione di pratiche povere dal punto di vista della sicurezza. Bisogna invece ricordare che la complessità c’è ancora: è solo stata spostata e l’azienda deve comunque preoccuparsi di gestire la sua parte.

“Dall’altra parte vediamo che sono importanti le quote di altre tipologie di cloud – ribadisce Bechelli – quindi Software as a Service (SaaS) e Platform as a Service (PaaS), con modalità di servizi centrali per il funzionamento dell’azienda: CRM, ERP, amministrazione, la stessa software automation delle mail che spesso viene sottovalutata e dove si trovano i dati più critici dell’azienda perché per quanto noi pensiamo di metterli all’interno di repository protetti, poi li facciamo comunque circolare nelle varie versioni. Il tema degli endpoint che accedono al cloud non è più solo il pc, ma una serie di dispositivi fissi e mobili che vanno protetti e tutelati perché la sicurezza che potremmo denominare Agile, ancora non esiste. I dati Clusit sulla crescita del cybercrime si commentano da soli”.

Come evidenzia Bechelli, anche le aziende che non sono in cloud sono ormai di fronte a un bivio: se sono in cloud i suoi partner, ad esempio, un’organizzazione che credeva di non essere in cloud può scoprire di esserlo.

“Dobbiamo capire oggi che la nostra azienda è cambiata – conclude l’esperto -: non ha neanche più senso parlare di azienda mobile, che lo è già per definizione dal momento che i nostri dipendenti hanno un cellulare e, trovando aperta la porta del server di mail, cominciano a scaricare la posta sul proprio device. A quel punto siamo già mobili e dobbiamo pensare in mobilità. La trasformazione digitale è un’evoluzione delle esigenze dei colleghi che vogliono essere mobili, agili e che interagiscono in molti modi con il resto del mondo: non solo dal pc blindato tradizionale, ma anche con altri media che possono essere vulnerabili ad attacchi e possono mettere in crisi l’operatività”.

Insomma, aggiornare gli antivirus non è più sufficiente. Il board aziendale deve imparare a guardare l’azienda in modo molto diverso, andando ben oltre il tema del GDPR. La normativa che entrerà in vigore a maggio del 2018 ha il merito di aver l’attenzione sul tema della protezione dei dati offrendo l’opportunità di rivedere posizioni e policy, ma non risolve certo la totalità della governance. CFO, CEO, COO… tutti gli executive devono imparare a vivere la trasformazione digitale con una visione della sicurezza non solo più responsabile ma anche più lungimirante.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati

Articolo 1 di 2