CDA Cybersicurezza

La cybersecurity, un tema fondamentale per il CdA

3 dicembre 2021

Redazione

Il lavoro in ufficio è cambiato molto in questi ultimi 2 anni. I dipendenti lavorano sempre più spesso da casa, dalla casa al mare o in montagna e, quando in viaggio, dal treno. E, le ricerche confermano che la maggioranza dei dipendenti – una volta terminata l’emergenza pandemica – preferirebbe continuare a lavorare in modalità ibrida; in linea con la duplice esigenza di mantenere i rapporti con i colleghi e lavorare concentrati e in silenzio.

Il lavoro da casa ha sicuramente ridotto l’azione dei criminali comuni ma ha anche favorito la crescita della criminalità informatica. Infatti, vista la massa di persone che lavorano da casa diventa più facile per i criminali informatici impossessarsi di password e informazioni sensibili per accedere alle reti aziendali. Come? Utilizzando principalmente le email di phishing.

I dati confermano che gli attacchi ransomware in cui vengono presi in ostaggio i sistemi e i dati aziendali sono in forte aumento.

Il ransomware può avere conseguenze devastanti per un’organizzazione. Infatti, un numero sempre maggiore di organizzazioni dipende sempre di più dall’IT. Se l’ambiente IT o i dati aziendali non sono disponibili, l’intera azienda si ferma. Un attacco ransomware provoca danni ingenti, costa molti soldi – anche per i tempi lunghi che occorrono per ripristinare i sistemi – e, poi c’è da considerare l’eventuale riscatto che viene pagato. I danni effettivi causati dal ransomware sono spesso sottovalutati dalle organizzazioni ma possono raggiungere decine di milioni di euro. Oltre al ransomware, sono sempre più diffusi anche altri tipi di attacchi informatici, come il furto di dati, il malware e l’hackeraggio. Sono molte le aziende che non hanno un livello di sicurezza adeguato per la posta elettronica. Questo determina gravi rischi per tutta la comunità imprenditoriale e per tutta la società civile.

La prossima fase

Il lavoro ibrido sembra ormai un cambiamento duraturo, diventa quindi importante esaminare come le organizzazioni possono conservarlo per i propri dipendenti nel modo più sicuro possibile. Alcune domande possono aiutare il self-assessment aziendale per capire se la propria azienda ha adottato le misure tecnologiche e “umane” per garantirsi una sicurezza ottimale, fra cui:

  • Le misure di sicurezza introdotte in fretta e furia a febbraio 2020 sono sostenibili nel lungo periodo?
  • I dipendenti sono più consapevoli del rischio che rappresentano come “porta di accesso” alle preziose informazioni aziendali?
  • Ai dipendenti è chiaro come fare per lavorare in sicurezza da luoghi diversi dal proprio ufficio?

Le aziende che non hanno un adeguato livello di sicurezza informatica sono enormemente sotto pressione a causa dei criminali informatici. Si dice ormai che la questione vera non è se un’azienda sarà colpita o meno da un cyberattacco ma quando avverrà il cyberattacco. Alla luce di ciò, si apre una riflessione: a chi fa capo oggi la responsabilità della cybersecurity (sicurezza informatica) all’interno di un’organizzazione? In passato la responsabilità era del dipartimento IT ma oggi l’argomento è sempre di più discusso nel CdA.

Un’organizzazione costretta a fermarsi a causa di un attacco informatico può subire ingenti danni finanziari che possono determinarne anche il fallimento. Per questo la cybersecurity va vista come un tema fondamentale e prioritario del CdA.

Ma, la sicurezza non deve mai essere un argomento a sé del CdA bensì deve essere inclusa in tutto ciò che l’azienda fa ed in tutte scelte organizzative. Purtroppo, in parecchi casi, le aziende sono ancora lontane da questa situazione.

La sicurezza della filiera

La sicurezza informatica non riguarda solo le misure tecnologiche o la consapevolezza dei dipendenti ma anche l’intera filiera di cui fa parte l’azienda. Come azienda non dipendi solo da te stessa per la tua sicurezza ma anche dalla filiera in cui sei inserita. È sufficiente l’errore di un solo fornitore o un solo partner commerciale per far sì che la tua azienda sia a rischio di attacco ransomware. Un esempio è l’esternalizzazione del sistema di climatizzazione e l’accesso dato al fornitore alla rete aziendale. L’organizzazione è consapevole del rischio che corre nel campo della cybersecurity? Come fa l’organizzazione ad assicurarsi che tutti i componenti della “filiera” si attengano agli standard concordati e come fa a gestire i rischi? Questi sono temi prioritari per il CdA.

Business continuity

La continuità aziendale o business continuity è sempre stata un argomento importante all’interno delle organizzazioni: quando qualcosa va storto, come si può fare per far sì di poter continuare a lavorare, il più rapidamente possibile? La cybersecurity è una parte importante della continuità aziendale, perché costituisce una delle potenziali interruzioni dei processi aziendali. Invece, le organizzazioni poche volte considerano un attacco informatico come un rischio importante per la continuità aziendale. In base al tipo di azienda, la responsabilità può essere in capo al Responsabile della Business Continuity oppure al CISO. Il punto centrale è che sia il CdA sia i dipendenti siano consapevoli delle possibili conseguenze delle loro azioni/attività a livello di cybersecurity. Tutti nell’organizzazione devono essere consapevoli delle loro azioni e delle implicazioni per la cybersecurity; che il tema rimanga relegato al CdA non aiuta nessuno.

Simulazione di cyberattacco

Man mano che si passa ad una modalità ibrida del lavoro, la sicurezza informatica diventa più sempre più complessa, il rischio che dipendenti si trovano a lavorare da remoto su reti non adeguatamente protette è elevato. Il controllo aziendale sulla sicurezza della postazione lavoro diminuisce. È necessario uno sguardo critico ai propri sistemi di sicurezza e imparare a scoprirne i punti deboli. Conosciamo tutti le regolari esercitazioni di evacuazione degli uffici come nel caso di una simulazione di allarme incendio. Lo stesso principio di esercitazione dovrebbe essere preso in considerazione per gli attacchi informatici.

Vi sono ad esempio gli Hacker Etici che collaborando con le aziende sono in grado di mettere a punto un attacco informatico all’insaputa della maggior parte dei dipendenti. La simulazione, realistica, consente di mettere a punto misure preventive, ma anche di sapere cosa fare se le cose vanno male. Al giorno d’oggi con così tanti attacchi informatici, è imperativo avere a disposizione un piano d’azione pronto e testato tramite simulazioni.

 



Lascia un Commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono segnati con *