La sicurezza informatica per le Piccole e Medie Imprese
In questa seconda puntata di Digital Tomorrow si parla di cybersecurity, in particolare di sicurezza informatica per le Piccole e Medie Imprese (PMI). Lo speaker Pepe Moder va alla ricerca di risposte sull’argomento con Fabio Martinelli, dirigente di ricerca del CNR, e Gabriele Faggioli, Presidente dell’Associazione Italiana Sicurezza Informatica (CLUSIT), Direttore scientifico dell’Osservatorio Cybersecurity & Data Protection del Politecnico di Milano, Co-CEO di Digital360 e CEO diPartners4Innovation,
In prima battuta, bisogna avere chiaro come si può definire la cybersecurity: si tratta della sicurezza dei sistemi informatici, dagli smartphone ai computer, dalle automobili alle smart tv, etc. Tutti questi elementi vanno considerati come infrastrutture critiche. La sfida per gli attori in gioco è capire l’importanza basilare di proteggere questi sistemi per proteggere di conseguenza anche il sociale.
Una volta definito il campo d’azione, è necessario rendersi conto, e quindi circoscrivere, gli attacchi più comuni ai danni delle diverse entità. Infatti, i rischi e i pericoli non sono sempre gli stessi, ma si declinano in base ai soggetti si prendono in considerazione: se le grandi realtà, le piccole imprese o i privati.
Nel corso dei decenni, dagli anni ’80 a oggi, gli hacker e i loro stessi obiettivi sono cambiati. Siamo passati dalla pura distruzione all’attivismo online, dai cybercriminali con interessi meramente economici al terrorismo, dalla possibilità di influenzare le elezioni al dichiarare una guerra cibernetica.
Quali sono però gli intenti più comuni oggi? Nello specifico, verso quale direzione devono andare le PMI per non farsi trovare impreparate?
Ascolta anche: Cyber defence, Infosphere & Transnational hacking: le nuove frontiere di cybersecurity nazionale
I problemi in materia di sicurezza informatica per le PMI sono usciti allo scoperto, forse in maniera più lampante, a causa dei cambiamenti degli stili lavorativi prodotti dalla pandemia di covid19. Infatti, i dipendenti hanno iniziato a lavorare diffusamente da remoto: hanno utilizzato una rete internet domestica, dei dispositivi tecnologici personali (per chi non aveva a disposizione quelli aziendali) e via discorrendo.
Tutti noi, chi più chi meno, abbiamo preso familiarità con la parola smart-working. Per chi era abituato a recarsi in ufficio ogni giorno e per chi non possedeva gli strumenti e il supporto adeguati è stato un bel salto nel vuoto.
Necessario domandarsi: le aziende hanno offerto un’adeguata formazione ai loro dipendenti per far fronte ai rischi cibernetici? I dirigenti hanno saputo osservare le carenze dei loro sistemi e implementare la sicurezza?
Ascolta anche: I cyber attacchi nel settore dell’informazione e dei media
In Italia è manifesto un problema di mancanza di competenze, abbinato a una carenza di budget per gli investimenti, non in tecnologia, ma in sicurezza per le tecnologie. Dati alla mano, nel nostro Paese si spende meno in cybersecurity rispetto alla media europea e si nota una difficoltà sconfortante nell’adeguarsi alle normative sovranazionali.
Le aziende non sembrano avere compreso realmente la gravità dei danni che un attacco informatico porterebbe. Senza infrastrutture cloud, senza personale formato, senza sistemi aggiornati e quindi senza consapevolezza dei propri punti deboli non c’è protezione. L’impresa si potrebbe trovare a convivere per anni con un malware silente, pronto a esplodere in qualsiasi momento.
Per fortuna, sono a disposizione di ognuno piani formativi ed esecutivi che possono essere introdotti per farsi trovare preparati e sempre all’erta. Si tratta per lo più di compiere il primo step: interiorizzare il fatto che un cyberattacco è tanto concreto quanto un incendio o un furto in magazzino.
Parliamo di minacce reali.
Francesca Ponchielli