“Gap of grief” è stato un riferimento ricorrente durante l’ultimo RSA Summit di Roma, a ricordare che un incidente in ambito sicurezza informatica non lascia certo indenni e che esiste un divario sicuramente da colmare per evitare che il business subisca danni pesanti legati ad un livello scarso di security.
“E’ necessario – afferma Massimo Vulpiani, Regional Director Europe South, France, DACH, Eastern Europe & Middle East Netwitness Suite di RSA – che le imprese comprendano bene lo stretto legame che c’è tra sicurezza e business per non soccombere. Questo non vale solo per le grandi aziende, ma anche per quelle di piccola e media dimensione, così come per gli utenti finali. Se ad esempio un professionista qualunque ha necessità di consegnare una pratica che conserva in unica copia sul proprio pc, improvvisamente infettato da un ransomware, cosa succede? Quanto perde in termini di tempo, credibilità con il cliente e, quindi, denaro? Forse alle imprese basterebbe parlare con questi esempi, in modo più chiaro, per aumentare il loro grado di consapevolezza. Quella di cui sempre più oggi si sente la mancanza”.
Consapevolezza che si può ritrovare partendo dalla lettura di alcuni dati riferiti ad una recente ricerca condotta da RSA su un campione rappresentativo di aziende anche italiane. Da questa emerge subito un quadro preoccupante rispetto al numero di attacchi rilevati e alla tendenza ad un incremento che vedrà nei prossimi mesi 1 utente su 3 con account hackerato e circa un miliardo di record che potrebbero essere violati solo nella prima metà del 2017. Numeri che confermano una tendenza che vede raddoppiare ogni 15 mesi il numero di record violati.
“Non c’è distinzione – continua Vulpiani – fra aziende di grande o piccola dimensione. Si trova scarsa consapevolezza e basso grado di maturità utile ad affrontare le situazioni in sicurezza nelle une come nelle altre, indifferentemente. Diciamo che situazioni buone si hanno nelle imprese in cui è chiaro il rischio che la non sicurezza ha per il business: lì si ricorre a supporto esterno quando ce n’è bisogno o si forma un team di esperti interno in grado di pianificare al meglio le azioni utili a gestire in sicurezza la propria attività. L’importante è che chi si occupa del comparto IT faccia uno sforzo per spiegare bene a tutta l’organizzazione il rischio reale, correlato, che si ha nel momento in cui s’introduce la tecnologia, aumentando così il confine di attacco”.
Le strategie di sicurezza si sono evolute negli anni, ma oggi più che mai si avverte l’esigenza di sposare una modalità “driven security” che, come ha ben spiegato Zulfikar Ramzan, Chief Technology Office di RSA, necessita di un approccio complessivo e non a macchia di leopardo alla problematica, consapevole dei diversi rischi che si corrono quando si aumenta il grado di digitalizzazione e, soprattutto, basato sull’analisi dei dati.
“La prevenzione purtroppo – afferma Vulpiani – è quella cosa di cui si capisce l’importanza quando è ormai troppo tardi, ovvero quando si è già stati oggetto di attacco e si sono rilevati danni, spesso ingenti. Dovremmo far sì che la sensibilità aumenti prima che il problema si verifichi affinché si possano abbassare i tempi di reazione e risoluzione, che ovviamente impattano in modo significativo sull’entità del danno subito. Se, ad esempio, lascio al mio avversario 250 giorni di tempo – perché questo è quello che mi serve a rilevare un problema e porre rimedio – allora avrò impatti devastanti. Più riuscirò a ridurre il tempo di reazione meno saranno i danni per il mio business”.
Interessante e importante anche il ragionamento sui numeri riferiti ai data breach, presentato durante il Summit: dati che possono essere considerati inquietanti, ma che nella realtà dei fatti sono addirittura sottostimati. “Al momento attuale ci sono Paesi europei che non hanno l’obbligo di comunicare un data breach e che, pertanto, pur avendolo rilevato, non lo hanno reso noto. Ma tra meno di un anno, quando entrerà in vigore il GDPR, avranno l’obbligo di farlo entro 72 ore. Questo non solo ci permetterà di avere un quadro più preciso del numero di attacchi, ma renderà anche più tempestive le comunicazioni. Oggi, ci vogliono in media 250 giorni per scoprire un data breach e questo viene reso pubblico, nel 25% dei casi, dopo un mese, nel 50% dei casi dopo 4 mesi e nel restante 25% anche dopo un anno”.
Se si guarda alla situazione italiana, i tre quarti degli intervistati nello studio RSA hanno riportato incidenti con impatto negativo sul business negli ultimi 12 mesi, ma solo il 38% di questi considera la propria strategia in tema di cybersecurity matura.
E la nuova normativa europea sulla privacy?
“Sarebbe opportuno – conclude Vulpiani – che al di là degli aspetti normativi ci si concentrasse su quelli tecnici. Notificare un data breach entro 72 ore non è cosa banale e non si può pensare di poter far fronte a questo aspetto il 28 maggio del prossimo anno, giorno di entrata in vigore del decreto. Il GDPR dovrebbe aiutare le imprese ad approcciare in modo migliore la sicurezza, modificando anche i processi interni e adeguando infrastrutture, competenze e modi di gestire le cose. Solo considerando questa come una buona occasione per migliorarsi e riscoprire la giusta attenzione alla protezione dei dati, il decreto potrà avere un senso per le imprese e potrà rappresentare una opportunità, invece che una semplice disposizione normativa”.
Facebook Comments