Sicurezza a misura di Pmi

Quali sono le minacce che fanno oggi tremare le piccole e medie imprese? Che strategie di difesa occorre implementare per proteggere il patrimonio informativo? Le soluzioni attualmente disponibili sono sufficienti a garantire l’incolumità dagli attacchi? A queste domande risponde Alessio Pennasilico, security evangelist e membro del comitato direttivo del Clusit, l’Associazione italiana per la Sicurezza Informatica.

Pubblicato il 17 Giu 2013

In questo scenario transitorio, dove il digitale permea quasi ogni aspetto del vissuto quotidiano e fenomeni quali mobile, social e cloud rivoluzionano l'it tradizionale, gli attacchi informatici crescono a ritmi vertiginosi in numero e pericolosità: secondo l'ultimo rapporto rilasciato dal Clusit, l'Associazione italiana per la Sicurezza Informatica, la frequenza degli incidenti nel 2012 è aumentata del 250% rispetto all'anno precedente, mentre gli episodi di cyber crime hanno subìto un'impennata di oltre il 370%. Un quadro a tinte fosche, che le previsioni danno in peggioramento e che interessa il privato cittadino, così come le organizzazioni di qualsiasi dimensione e tipo, dalle piccole e medie imprese fino alle grandi aziende internazionali e agli Stati. A colloquio con ZeroUno, Alessio Pennasilico, membro del comitato direttivo del Clusit, offre una serie di riflessioni sullo stato di sicurezza delle Pmi italiane, sondandone bisogni, criticità e punti di miglioramento.

“Sul piano della sicurezza – esordisce il security evangelist – non c'è nessuna differenza tra le esigenze delle large enterprise e le necessità delle Pmi: ci sono budget molto diversi a disposizione a fronte di problemi che sono assolutamente analoghi e questo lascia intuire tutta la drammaticità della situazione. Detto con uno slogan che uso ripetere: 'Una piccola impresa non significa che abbia bisogno di una piccola sicurezza'. Necessita dello stesso tipo di protezione come qualsiasi altra azienda”.

Pmi: manca l’interlocutore specializzato in security

Ma quali sono le minacce che stanno facendo tremare le imprese di qualsiasi settore e dimensione? Pennasilico non ha dubbi: da un lato, esiste sempre un pericolo endemico all'organizzazione stessa, per cui un dipendente infedele o un impiegato totalmente inconsapevole può recare danno al patrimonio informativo aziendale; dall'altro, ci sono gli attacchi provenienti dall'esterno che spesso vengono sottovalutati dalle Pmi, liquidati semplicemente con un “siamo piccoli, a chi vuoi che interessino i nostri dati?”.

Un atteggiamento sbagliato e controproducente secondo l'esponente Clusit: “Un simile approccio si scontra con due evidenze: innanzitutto, le truffe riguardano anche i privati, quindi a maggiore ragione le piccole aziende, soprattutto se innovative e in possesso di brevetti; inoltre, le truffe e gli attacchi via web, se estesi su larga scala per colpire il maggiore numero di bersagli, riguardano indiscriminatamente la grande multinazionale così come la micro-impresa locale, senza riguardo per il fatturato e la tipologia di business”.

Alessio Pennasilico, membro del comitato direttivo del Clusit

E secondo i dati del rapporto Clusit 2013, la situazione è destinata ad aggravarsi: “Gli attacchi che vanno a buon fine, indipendentemente dal tipo di tecnologia utilizzata, sono aumentati in maniera importante – fa notare Pennasilico -: ormai non si ragiona più sul 'se succederà', ma sul 'quando'. Oggi molte Pmi non seguono neppure le regole per la conformità normativa, incorrendo non solo in rischi operativi, ma anche legali, al contrario delle enterprise più sensibili e attente al tema della compliance. Con questi presupposti, è evidente la maggiore difficoltà delle organizzazioni più piccole nel fare fronte alle nuove minacce, che vengono ad esempio dalla mobility, dai social media, dalla consumerizzazione dell’It e dalle applicazioni di file sharing, portate in azienda dagli utenti e con ridotte possibilità di controllo”.

A tutti questi ostacoli, si aggiunge anche un certo divide culturale rispetto alle organizzazioni più grandi e la mancanza all'interno delle Pmi di un interlocutore specializzato sulle problematiche di sicurezza. “L'approccio delle Pmi – constata il rappresentante Clusit – è incentrato sull'operatività e, durante la fase di sviluppo dei progetti It, la security viene considerata un elemento accessorio, piuttosto che essenziale. In questi contesti, il referente difficilmente è un informatico e per i partner tecnologici, produttori o consulenti, diventa davvero problematico trasmettere determinati concetti. Anche quando si arriva a far comprendere il rischio e a identificare la soluzione, non sempre si riesce a convincere il management ad allocare gli investimenti necessari sulla sicurezza, seppure a fronte di costi banali”.

Il ruolo cruciale dei vendor

A questo proposito, Pennasilico punta il dito contro i vendor, più preoccupati di fare “promozione dei prodotti”, piuttosto che “informazione sulla sicurezza”, pur ammettendo che alcuni fornitori più virtuosi stanno cercando di potenziare l'attività “evangelica” e di formazione attraverso l'appoggio delle associazioni di categoria o culturali, che hanno la credibilità e l'autorevolezza di un organismo imparziale, nonché la capacità di rendere “più fruibili” le nozioni anche a un pubblico meno tecnico. “Ma per quanto queste iniziative possano avere seguito – si rammarica il membro del comitato direttivo Clusit -, il numero delle aziende che non si interessano con la dovuta attenzione al tema della security resta comunque molto alto”.

Nel processo di trasferimento delle informazioni, invece, un ruolo di ben più grande responsabilità possono averlo i consulenti e i system-integrator, in virtù di un rapporto privilegiato, di vicinanza e di fiducia con il cliente. “Molto spesso – evidenzia Pennasilico – l'approvazione di un progetto avviene perché l'azienda si fida del consiglio del proprio partner, senza avere ben compreso da quali minacce si deve difendere e l'importanza di implementare quella specifica soluzione”.

Passando a un'analisi dell'offerta oggi disponibile sul mercato della sicurezza, Pennasilico ribadisce che le soluzioni “a portata di Pmi”, quindi dai costi contenuti e di facile gestione, esistono; la riluttanza nell'adozione continua a essere di matrice culturale e si traduce in: diffusa mancanza di propensione a investire in sicurezza; incapacità dei fornitori nel proporre la soluzione ideale, “spesso i commerciali non hanno le competenze per una corretta analisi del rischio e propongono tecnologie di fascia alta, superiori alle necessità aziendali e con costi elevati che scoraggiano il cliente da un possibile acquisto”, dice l’evangelist; difficoltà nel quantificare economicamente i danni dovuti ad attacchi subiti o alla perdita dei dati, “bisogna convincere il management che le conseguenze di un incidente possono avere un valore nettamente superiore agli investimenti in protezione necessari per prevenire tali vulnerabilità”, ribadisce Pennasilico. A preoccupare, allora, non è la capacità di spesa effettiva (“si è disposti a spendere grandi cifre per il gestionale, ma non per la security”), ma la volontà di allocare le risorse che limita anche il diffondersi di iniziative volte a “fare rete” tra aziende e a implementare soluzioni comuni, a livello, ad esempio, di distretto industriale. Un problema che, secondo l'esperienza di Pennasilico, in Italia è più accentuato rispetto all'estero, perché questa “leggerezza” di approccio nei confronti della sicurezza fa parte della mentalità comune dell'utente quando si rapporta alla tecnologia nella sfera privata: “I nostri connazionali, ad esempio, fanno un uso degli smartphone molto più intensivo rispetto ad altri Paesi, ma sono molto meno informati e sensibili alle problematiche di security”.

E la compliance è ancora un driver

Ma qual è allora la strada che le Pmi devono seguire per sviluppare un corretto piano di difesa? “La compliance – conferma Pennasilico – è un buon punto di partenza: bisognerebbe iniziare da leggi come la 231 o la 196 sulla privacy, che seppure ancora imperfette, possono fornire un valido aiuto. E soprattutto le aziende dovrebbero interiorizzare il significato di queste regole, che non vanno seguite solo perché imposte, ma perché considerate realmente utili ai fini della protezione: serve, insomma, comprensione. È lo stesso approccio che andrebbe trasferito ai singoli dipendenti: occorre spiegare e fare capire perché un determinato comportamento, ad esempio la scelta di password troppo semplici da individuare, potrebbe nuocere all'incolumità del patrimonio informativo aziendale, senza dare l'impressione di pratiche 'calate dall'alto'. Vietare è controproducente: ad esempio, bandire il Bring your own device non impedirà al lavoratore di introdurre di nascosto il proprio dispositivo personale in azienda, con lo svantaggio per gli amministratori It di perdere totalmente il controllo, nonché di rinunciare a tutta una serie di opportunità che il Byod potrebbe invece generare. Infine, bisogna pensare che la sicurezza non rallenta l'operatività, ma anzi è al servizio del business e va applicata in modo preventivo, non reattivo. Qui, però, ci si va a scontrare con un modo di ragionare irreversibile e con la stessa natura umana, che tende a negare le eventualità peggiori finché non si verificano”.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati

Articolo 1 di 3