Da voce di costo ad asset strategico. Come mettere al centro la sicurezza nelle scelte della tua azienda per difendere il patrimonio di dati, la reputazione aziendale e la fiducia dei clienti
Sicurezza. Parola magica nelle maglie della società iperconnessa, che sviluppa relazioni virtuali viaggiando sui fili invisibili del web, la rete che tutto contiene e nella quale si disperdono frammenti di dati. Dati, personali o aziendali, che sono il cibo di voraci hacker ormai organizzati in strutture potenti, quasi delle “compagnie ombra” specializzate nelle arti del cybercrime evoluto. Per saperne di più sulla situazione attuale e su come probabilmente evolverà il tema della sicurezza nel nostro Paese, abbiamo chiesto a Bruno Carbone, security & privacy expert di R1, di tracciare per noi un quadro complessivo. «Il cuore della questione va oltre il mero aspetto tecnico o informatico, ma è culturale. Le aziende, così come i privati e i professionisti, devono capire che la sicurezza non è un centro di costo, ma una risorsa d’importanza vitale». Bruno Carbone è uno specialista di lunga carriera. Certificato Lead Auditor ISO/IEC 27001 – 20000, responsabile di ICT security in Enav, vicepresidente dell’Associazione Italiana di Esperti in Infrastrutture Critiche (AIIC), ha collaborato con il ministero delle Telecomunicazioni per la definizione di diverse linee guida sulle infrastrutture critiche, la sicurezza delle reti e le certificazioni IT. Attualmente, collabora con Gway, società di consulenza del Gruppo R1 che si occupa di formazione e del mondo applicativo. Le minacce informatiche sono esplose con la proliferazione dei dispositivi, ma alcune delle più concrete e pericolose riguardano – per esempio – compagnie che ingaggiano hacker per distruggere la concorrenza, oppure attacchi simultanei condotti da migliaia di server che colpiscono sistemi target, mandandoli in tilt. «E’ nato un business intorno al cybercrime» – spiega Carbone.
Più cultura della sicurezza
«I dati sono la nuova fonte di potere e chi li possiede può minacciare o danneggiare la credibilità delle aziende». Secondo stime parziali del Ponemon Institute, nel 2013 il crimine informatico mondiale ha fatto danni per circa 500 miliardi di dollari. Ci troviamo di fronte a una vera e propria emergenza. Il numero di attacchi gravi è cresciuto nel 2013 del 245% (dati Clusit). L’economia è ovviamente uno dei campi d’elezione degli attacchi informatici, ma anche gli equilibri politici tra stati possono essere compromessi. Dato che tendenzialmente ogni cosa è gestita dalla tecnologia, dalle comunicazioni alla vita personale e professionale, ogni cosa è potenzialmente un bersaglio. «In effetti – continua Carbone – si sta facendo largo la consapevolezza di essere vulnerabili nella Rete, quindi è bene prevenire i rischi peggiori e pensare a come limitare i danni, nel caso in cui un attacco effettivamente si verifichi».
Dall’Europa, sono in arrivo nuove norme che regolano e unificano proprio gli aspetti della sicurezza e della tutela dei dati personali. Ma a che punto siamo in Italia con il loro recepimento? «Il nostro Paese non brilla per velocità di adeguamento alle disposizioni – risponde Carbone – soprattutto manca un’opera di sensibilizzazione e di informazione sulla potenza dell’utilizzo dei mezzi informatici, per cui praticamente chiunque abbia un dispositivo con accesso a Internet, con minimo sforzo, può attingere a risorse con cui potrebbe causare danni. Bisogna essere molto cauti quando si utilizza la tecnologia, soprattutto quando la percezione del reale è schermata da strumenti asettici, come uno schermo o una tastiera». A breve entrerà in vigore il regolamento europeo, che disciplinerà gli aspetti legati alla sicurezza dei dati personali nei paesi membri, divenendo attuativo nel momento in cui sarà pubblicato sulla Gazzetta Ufficiale.
Regole chiare ed efficaci
«C’è bisogno di regole chiare ed efficaci, che siano condivise da tutte le organizzazioni in modo da creare una cornice armonica, una sorta di “perimetro di sicurezza” per garantire i dati. Oltre a questo, ci devono essere controlli e sanzioni pesanti per chi trasgredisce» – sostiene Carbone. In particolare, tutte le aziende devono effettuare un’analisi dei rischi che comprenda ogni attività svolta e, sulla base di queste valutazioni, determinare la percentuale di probabilità che possano verificarsi brecce nella sicurezza. «Considero l’analisi dei rischi come l’attività madre che un’azienda è chiamata a svolgere per proteggere i propri dati» – conclude Carbone. «Investire in quest’area può rappresentare una spesa rilevante per un’impresa, è vero, ma il danno prodotto in caso di attacchi informatici è enormemente superiore, anche in termini d’immagine aziendale e di fiducia dei clienti».
