La criminalità informatica è un tema prioritario dell’Istituto Interregionale delle Nazioni Unite per la Ricerca sul Crimine e la Giustizia (UNICRI) dal 2004. In particolare, l’UNICRI ha condotto il primo studio sui profili degli hackers e ha sviluppato numerosi progetti di prevenzione e contrasto. della criminalità informatica nelle sue molteplici forme. Recentemente l’Istituto ha sviluppato le LINEE GUIDA PER LA SICUREZZA INFORMATICA NELLE PMI. Abbiamo intervistato la dott.ssa Francesca Bosco Project Officer dell’UNICRI e responsabile del progetto e la ricercatrice Flavia Zappa Leccisotti autrice delle studio.
Qual è l’attuale situazione in cui versano le PMI italiane?
Durante lo sviluppo delle due ricerche condotte nell’ultimo anno(2) è emerso che spesso le aziende che subiscono un attacco informatico non sono preparate e non dispongono di linee di assistenza chiare e definite alle quali rivolgersi.
Le aziende che sono consapevoli di aver subito un attacco informatico – purtroppo non tutte lo sono – non dispongono di strumenti di protezione. Spesso credono erroneamente che le azioni che potrebbero mettere in atto siano solo ed esclusivamente di tipo tecnico ed economicamente impegnative. Ciò che manca alle PMI del nostro territorio è principalmente un quadro di assistenza nell’attuazione di misure di sicurezza informatica che comprenda non solo strumenti tecnici quali antivirus, firewall ecc., ma soprattutto uno schema strategico da attuare per costruire un piano che possa essere sostenibile nel tempo sulla base delle evoluzioni delle minacce.
La sicurezza non deve essere vista solamente come uno stato finale, ma piuttosto come il risultato di un processo che coinvolga costantemente e coerentemente tutte le azioni in ambito IT. Un processo che diventi parte integrante dei percorsi aziendali e che possa svilupparsi, evolvere ed attuarsi nel tempo, sulla base delle minacce.
Quali sono gli aspetti innovativi della ricerca e cosa la differenzia dalle altre ricerche sul tema?
Spesso si sente parlare di attacchi informatici a grandi aziende che solitamente hanno un livello di resilienza elevato e disponibilità di capitali da investire. Con questo studio, abbiamo invece voluto concentrarci sulle piccole e medie imprese – un focus non comune nella reportistica inerente alla sicurezza informatica – in un momento particolarmente complesso, specialmente in Europa, nel quale le aziende colpite dalla recessione tentano di far fronte alle misure di austerità e si adattano a bassi margini di profitto. Il nostro obiettivo è stato quello di produrre più conoscenza delle vulnerabilità relative alla sicurezza informatica di un settore economico di vitale importanza.
Il valore aggiunto della ricerca è stato quello di combinare l’approccio qualitativo delle interviste agli attori coinvolti nel contrasto agli attacchi informatici, con un approccio molto pratico e diretto per far emergere i maggiori rischi e le vulnerabilità per le imprese. Le interviste con i rappresentanti delle istituzioni e le aziende hanno aiutato a chiarire i le principali criticità e messo in luce la necessità di adottare una strategia coerente che consenta alle PMI di contrastare i crimini informatici in modo efficace.
Abbiamo inoltre cercato di coinvolgere quanto più possibile tutti coloro che si occupano a vario titolo di sicurezza informatica in Italia, a partire dal CERT nazionale, coinvolgendo anche associazioni di categoria, forze dell’ordine e magistratura.
Cosa differenzia questa ultima ricerca dalla precedente?
L’indagine svolta nel 2014 evidenziava un livello molto basso di percezione e conoscenza delle minacce informatica e delle relative contromisure da parte delle PMI. Nel precedente studio è stata dedicata una sezione alle tipologie di minacce e attacchi informatici alle quali le aziende sono esposte. Le interviste ad enti istituzionali e PMI, si sono focalizzate sulle loro reali esigenze e sulle lacune nell’area della sicurezza informatica.
Questa ultima ricerca, che rappresenta una prima integrazione alla precedente, contiene un aggiornamento dei dati e dei trend relativi al primo semestre 2015 e analisi di casi studio condotte sul territorio nazionale. Ma soprattutto contiene delle linee guida per la sicurezza informatica per le PMI, che possono essere d’aiuto per colmare i gap emersi durante la precedente indagine e sostenere le PMI nella lotta ai crimini informatici. L’esigenza di dare un indirizzo che assista le PMI nell’individuazione e nella definizione delle proprie linee guida nasce così dall’analisi dei risultati delle interviste qualitative condotte presso le aziende coinvolte durante la precedente ricerca.
Le linee guida sono state poi validate da esperti di aziende leader e da tre delle aziende più strutturate e consapevoli tra quelle intervistate nel precede studio.
Come si è arrivati alla realizzazione delle linee guida?
Le linee guida sono state redatte pensando ai principali settori di un’azienda. Attraverso l’analisi di questi settori, le PMI sono facilitate nel recepire le linee guida più adatte alla loro specifica struttura. Per ogni area sono stati identificati gli asset aziendali più importanti e per ognuno di essi sono state evidenziate, secondo un ordine di priorità, le buone pratiche che possano aiutare a gestire e mitigare al meglio i potenziali rischi.
Le linee guida, offrono per esempio, indicazioni concrete per la protezione dei dati sensibili – sia che riguardino il personale aziendale sia relativi a clienti e fornitori – oppure indicazioni specifiche per la gestione del cloud. Nella redazione delle linee guida, si è data particolare attenzione non solo agli aspetti tecnici, ma anche a quelli comportamentali. La maggior parte delle minacce contano infatti sulla posssibilità offerta dal margine di errore umano e possono così essere veicolate anche attraverso componenti apparentemente innocue quali le immagini che possono essere allegate a una e-mail.
Prevedete ulteriori sviluppi della ricerca?
L’obiettivo è quello di creare una reale e solida cultura della sicurezza informatica attraverso una serie di azioni concrete che coinvolgono anche le piccole e medie imprese. Proprio perché l’UNICRI si occupa di ricerca orientata all’azione, abbiamo voluto identificare gli ambiti pratici di intervento che sono emersi sia nella fase di ricerca – che ha prodotto il primo rapporto – sia nella fase di produzione delle linee guida. Il nostro obiettivo è quello di continuare a produrre ricerche di qualità su tematiche attuali ed emergenti (quali la sicurezza in ambito start-up e la sicurezza dei big data), con la possibilità di estendere la ricerca ad altri paesi e regioni, rafforzando altresì l’analisi comparata, che attualmente è stata prodotta su uno scenario più generale.
Data l’esigenza di investire in formazione, che è l’aspetto primario emerso in tutte le interviste, così come la necessità di far fronte a una ridotta cultura della sicurezza e consapevolezza dei rischi, l’UNICRI è in grado di sviluppare programmi di formazione e campagne di informazione multidisciplinari e dedicati a pubblici diversificati.
UNICRI releases Guidelines for IT Security in Small and Medium Enterprises: http://www.unicri.it/in_focus/on/Cybercrime_risks_economy
Facebook Comments