La recente indagine del Politecnico di Milano su un campione di 237 aziende presenta diversi aspetti interessanti e colgo l’occasione per soffermarmi su alcuni di essi. Alla domanda relativa ai timori percepiti in merito alla sicurezza, il 76% delle aziende ha dichiarato che è molto o abbastanza preoccupata per quanto riguarda la perdita o il furto di dati sensibili dell’azienda. Per quanto riguarda i possibili attacchi informatici ben il 72% è molto o abbastanza preoccupato. Si scende al 61% per quanto riguarda i danni reputazionali del brand.
Quest’ultimo dato lascia forse un po’ perplessi in quanto la perdita di dati sensibili, o le conseguenze di un attacco informatico come il blocco del servizio o del prodotto, hanno comunque nella gran parte dei casi un impatto sulla reputazione e sull’immagine dell’azienda (domando: viene fatta correttamente una valutazione del possibile impatto conseguente ad un atto malevolo? Le imprese conoscono e sanno applicare correttamente la business continuity?).
Cosa fanno le aziende del campione?
Notiamo che l’84% in media investe sulla sicurezza della rete, il 79% sulla sicurezza dei dati, e il 51% sui rischi della compliance.
Siccome non si fa cenno alle attività di sensibilizzazione del personale, queste forse sono state comprese nella gestione dei rischi e della compliance. E’ comunque un dato che lascia perplessi! Non sappiamo come si divide l’investimento tra compliance e miglioramento della cultura interna nell’affrontare i rischi sia finanziari sia operativi e reputazionali (derivanti da frodi, interne od esterne; da errori; da furti, ecc.); possiamo però dire, leggendo questi dati, che l’attenzione è maggiore nel fabbricare i muri perimetrali che nel convincere le persone, ad esempio, a stare attente a ciò che scaricano da Internet!
Un altro dato che induce a riflettere: la stessa indagine indica che solo il 38% ha detto che investe sulla sicurezza del “mobile” e sappiamo quante informazioni riservate vi sono sugli smartphone e sui tablet! (Non viene da domandarsi se le imprese hanno le idee chiare di cosa va fatto, e con quali modalità?).
Dall’indagine emerge anche che appare un miglioramento rispetto al passato, ma lascia perplessi il pensare che aspetti rilevanti, come la reputazione e la attenzione ai rischi operativi, non abbiano la giusta considerazione.
Incoraggia però il fatto che si noti un forte e crescente interesse ed impegno da parte delle Istituzioni, a tutti i livelli, nei confronti del cybercrime: ciò lascia anche ben sperare sui prossimi passi delle aziende per proteggersi da attacchi sempre più sofisticati. Infatti, la minaccia cresce in qualità e quantità.
Come afferma l’articolo pubblicato nell’inserto Nova del Sole24ore dell’8 febbraio:
“La cosa più emozionante del mercato della sicurezza-dice Monticelli-è che ogni sei mesi cambia tutto. Le sfide si susseguono, una diversa dall’altra, e non ci si annoia di certo”.
Ci si può difendere dalle continue nuove minacce nella misura in cui ogni azienda pianifica e si muove nella direzione di sensibilizzare il suo personale ai rischi, ossia, nel saper sfruttare le opportunità che si presentano, e che il mondo digitale offre, conoscendo le possibili minacce e proteggendo sé stesso e l’azienda: ciò è soprattutto importante per la tutela del lavoratore.
Ciò va fatto in modo non “talebano”, ma progressivamente, con modalità condivise in quanto coerenti con la “mission” dell’impresa e con le personalità e sensibilità dei destinatari.
In parallelo auspichiamo interventi centralizzati coordinati, e certificati, di sensibilizzazione della popolazione (e non i tanti attuali “rivoli” di interventi, inventati da persone in buona fede, ma troppo spesso tarati sulla esperienza e sensibilità degli erogatori e non a sufficienza e correttamente su quella dei destinatari).