Tutti i rapporti sulla cybersecurity, nazionali ed internazionali, pubblicati nel primo semestre del 2018, designano un quadro di previsione piuttosto allarmante per il prossimo futuro.

Se da una parte la rivoluzione digitale sta creando innumerevoli opportunità (si pensi ad esempio al concetto, relativamente nuovo, di Internet delle Cose), d’altro canto l’incremento dei dispositivi connessi ad Internet, la loro interoperabilità e interdipendenza, hanno aumentato considerevolmente la superficie d’attacco possibile da parte di malintenzionati.

I risultati del Global Information Security Survey del 2018, volto a valutare la percezione della minaccia cibernetica nelle piccole e medie imprese, hanno evidenziato che:

  1. la minaccia principale è oggi rappresentata dai malware, il cui obiettivo è volto non più all’interruzione del funzionamento di sistemi informatici, ma piuttosto alla sottrazione di know how relativo a progetti industriali ed a strategie manageriali;
  2. da un lato l’impatto economico è stato stimato come piuttosto contenuto (dell’ordine di circa 50.000 euro come danno massimo), ma dall’altro la maggior parte delle imprese ha ammesso la difficoltà nel valutare tale dato;
  3. il top management ha mostrato una certa sensibilità verso la tematica della cyber security, benché sia risultato restio verso l’elaborazione di documenti di valutazione della minaccia cibernetica e l’adozione di strategie di prevenzione;

La maggior parte degli imprenditori intervistati ha dichiarato di aver preso misure di sicurezza e prevenzione, ma in sostanza gli investimenti nella sicurezza aziendale sono tendenzialmente moderati, ammontando mediamente all’1% delle vendite. In sintesi, c’è consapevolezza ma si fa fatica a costruire una reazione.

Mentre le minacce si evolvono con estrema velocità e la mole di dati disponibili in Rete cresce esponenzialmente, nella maggior parte delle PMI e anche in qualche grande azienda, purtroppo, la cultura della sicurezza è ancora un concetto nebuloso e naif. Il pericolo, invece è reale e attuale. Basti pensare alla quantità di dati che transitano in Rete grazie alle nuove tecnologie di cloud computing o all’uso massivo di strumenti di condivisione.

Va considerato inoltre che al giorno d’oggi gli strumenti della criminalità informatica sono quasi alla portata di chiunque. Non è un segreto che, grazie alle darknet, sia oggi possibile “noleggiare” un hacker e farsi realizzare strumenti informatici “su misura” per poche centinaia di Euro. Cosa succederebbe, ad esempio, se un impiegato sbadato aprisse inavvertitamente un allegato che nasconde una variante del famoso trojan Cryptolocker compromettendo in una sola volta quasi tutti i dati aziendali? E questo esempio è dei più banali: lo studio sopra citato evidenzia anche come le tecniche di attacco si siano evolute. Non solo malware, ma anche penetranti operazioni di Social Engineering e le cosiddette “operazioni di influenza”, volte a modificare, nel lungo periodo, i comportamenti degli stakeholder e degli apparati decisionali d’azienda.

La soluzione

Se l’apparato statale si sta dotando di avanzati strumenti di prevenzione, le piccole e medie imprese, che costituiscono l’ossatura dell’economia nazionale, devono dotarsi autonomamente di quella “cultura della sicurezza aziendale” che oggi è solo in parte percepita e diffusa. In questo contesto la corporate security dovrebbe essere intesa come sicurezza a 360° (sia fisica che informatica) e dovrebbe far parte della struttura aziendale sin dall’inizio, coinvolgendo tutti gli apparati dell’azienda, non solo chi usa i computer.

Molte grandi aziende hanno implementato la figura del “Security Manager”, un professionista con il compito di “progettare ed attuare strategie, politiche e piani operativi volti a prevenire, fronteggiare e superare eventi di natura dolosa e/o colposa che possono danneggiare le risorse materiali, immateriali ed umane dell’azienda”.

Le aziende che, per dimensioni e struttura, non possono dotarsi di un professionista inquadrato nell’organico aziendale, possono comunque rivolgersi a consulenti esterni e agenzie specializzate che faranno una “fotografia” della situazione relativa alla sicurezza aziendale, valuteranno i rischi e proporranno soluzioni per minimizzarli.

Il Risk Assessment: la valutazione del rischio

La prima fase di intervento è rappresentata da un’attenta analisi dei rischi potenzialiil Risk Assessment.

Si tratta di un procedimento di analisi e valutazione che ha lo scopo di analizzare e quantificare i rischi a cui la struttura aziendale è esposta, in modo da decidere su solide argomentazioni tecniche (e non in base ad una preoccupazione del momento o al sentire comune) quali rischi fronteggiare e con quali contromisure.

Il Risk Assessment avviene attraverso un ben preciso procedimento, composto da:

  • una fase di analisi approfondita nei dettagli dell’Azienda, delle sue attività e del contesto (economico, sociale, ma anche competitivo) in cui essa si inserisce;
  • una fase di individuazione di quali sono i processi e le risorse più importanti per l’Azienda Cliente al fine di mantenere la propria competitività nel tempo;
  • una fase di individuazione delle possibili minacce alle risorse materiali, immateriali e umane che costituiscono i valori più importanti dell’Azienda;
  • una fase di valutazione in termini di probabilità di accadimento e di gravità in caso di accadimento delle predette minacce; grazie a ciò si arriva a calcolare i rischi veri e propri, ottenendone una stima numerica e dando loro un ordinamento in categorie;
  • una fase in cui si elabora una “politica di gestione dei rischi” relativi alla security aziendale, in cui si decide sulla base delle analisi e della valutazioni precedenti (inclusa un’analisi costi/benefici) quali rischi fronteggiare prioritariamente e in che modo.

L’elaborazione del Risk Assessment viene effettuata anche attraverso dei test di “Ingegneria Sociale”: si mettono alla prova le policy di sicurezza con tentativi di “infiltrazione” opportunamente concordati con la dirigenza. Gli esperti di Security, ad esempio, cercheranno di accedere fisicamente agli uffici passando dall’ingresso principale o da quello delle maestranze, per verificare l’attenzione dei dipendenti alla presenza di sconosciuti. Oppure lasceranno “inavvertitamente” una penna USB in un luogo incustodito all’interno degli uffici (ad esempio il bagno dei dipendenti); all’interno del supporto sarà presente un trojan benevolo che “infetterà” la rete aziendale quando un dipendente incauto e curioso lo inserirà nel proprio computer. Questi test di penetrazione, sia fisica che informatica, aiuteranno gli esperti a valutare anche gli aspetti più elementari della cultura aziendale relativa alla sicurezza, con l’obiettivo di sensibilizzare tutto il personale ad adottare politiche di “challenging” più rigide e precise.

Il Progetto di Security

Dopo aver valutato i rischi, gli specialisti redigeranno un Progetto di Security aziendale. Si tratta di un documento che riassume complessivamente le risultanze delle analisi condotte, il procedimento di Risk Assessment, le valutazioni in tema di Crisis Management e Business Continuity, e si conclude con le contromisure suggerite.

Le azioni di prevenzione proposte riguarderanno, oltre che le classiche contromisure di sicurezza fisica (blindature, telecamere, controllo accessi, personale di vigilanza, ecc.) e di sicurezza logica (sicurezza ICT), contromisure dal punto di vista organizzativo, delle procedure aziendali e della formazione del personale: i maggiori studi settoriali e l’analisi degli eventi dannosi nel campo della sicurezza aziendale hanno dimostrato infatti che, anche a causa dello spostamento sempre crescente del valore aziendale dai beni materiali ai beni immateriali, sono proprio questi i campi in cui spesso è più urgente e importante intervenire.

Grazie al progetto di security elaborato dai Security Expert l’Azienda sarà sicura di aver visto analizzati e valutati tutti gli aspetti sotto i quali si trova esposta e di aver ricevuto indicazioni idonee e realistiche atte a limitare al massimo tali rischi.

Un ciclo continuo

La consulenza fornita dalle Agenzie Specializzate, qualora voluto, può andare oltre la consegna del progetto di security studiato per l’Azienda Cliente, prolungandosi nel tempo e divenendo un’attività continua di revisione e miglioramento.

Nel seguire l’implementazione aziendale dei suggerimenti contenuti nel progetto iniziale, analizzarne i risultati, analizzare l’insorgere di nuove o diverse esigenze, pianificare miglioramenti e nuove contro-misure, Gli specialisti metteranno in atto un vero e proprio ciclo continuo di miglioramento quanto alla security dell’Azienda Cliente, secondo l’ormai noto principio del ciclo di Deming (Pianifica / Agisci / Controlla / Correggi), contemplato anche dalla norma UNI ISO 31000 del 2010 sul Risk Management.

In questo modo l’Azienda Cliente, oltre alla protezione dagli specifici rischi analizzati dal progetto di security in quel momento storico, rimane tutelata e protetta nell’evolvere del tempo e degli scenari. La sicurezza infatti è un bene durevole di cui l’azienda necessita per poter operare continuativamente.