Cyber Risk: analisi dei rischi e le tutele per professionisti e imprese
Per la prima volta la Comunità internazionale ha riconosciuto la necessità di adottare misure concrete per mitigare i rischi e contrastare l'aumento delle minacce informatiche su scala globale
Il cyber risk è il rischio di incorrere in perdite economico-finanziarie in seguito al verificarsi di eventi accidentali o di azioni dolose inerenti il sistema informatico (hardware, software, banche dati): dalla semplice violazione di un dato personale presente su un computer al blocco di un'attività industriale sempre più governata da infrastrutture digitali; i rischi, inoltre, non sono esclusivamente legati al furto di proprietà intellettuale, di dati e di programmi, ma anche all'interruzione di servizi essenziali e alla reputazione.
Le attività a presidio di tale rischio sono diventate una priorità per tutto il tessuto imprenditoriale e istituzionale; in questo ultimo anno abbiamo vissuto, infatti, una crisi non prevedibile e improvvisa che ha imposto una riorganizzazione degli assetti organizzativi delle aziende e della pubblica amministrazione in tempi molto brevi, con conseguenze inevitabili sulla vulnerabilità dei relativi sistemi informatici.
Secondo l'Osservatorio Cybersecurity & Data Protection - Politecnico di Milano 2020, per il 59% delle piccole e medie imprese, infatti, l'uso di reti domestiche ha esposto le aziende a maggiori rischi di sicurezza e per il 49% di esse sono aumentati gli attacchi informatici. Inoltre, l'uso massiccio dei dispositivi digitali ha facilitato ulteriormente l'accesso ai cyber criminali: già solo da febbraio ad aprile 2020, le campagne malware e phishing legate al Covid-19 sono cresciute da 5.000 a 200.000 a settimana .
Sebbene la cyber security inizi a rappresentare una priorità anche per le realtà meno strutturate, scarseggiano ancora gli investimenti: soltanto il 22% delle PMI ha stanziato dei capitali dedicati per il 2021, il 20% li aveva previsti ma ha dovuto ridurre i costi in seguito all'emergenza; inoltre, un'azienda su tre non ha un budget da dedicare e oltre un quarto non è interessato all'argomento.
In Europa, solo il 28% delle PMI si avvale della valutazione del rischio ICT (Istituto di ricerca Ponemon 2019), contro il 70% delle grandi imprese, a causa dei capitali ridotti per sviluppare le infrastrutture e assumere figure professionali ad hoc, ma anche per mancanza di consapevolezza.
Tra le minacce più frequenti alle piccole e medie imprese (Cisco Cybersecurity Report Series 2020) : ransomware, furto di credenziali, phishing, spyware, malware per dispositivi mobili, violazione dei dati, condivisione di file impropria, spam malevolo, DDoS e malware.
Inoltre, l'incremento esponenziale di questi attacchi ha portato molti Stati, Organizzazioni internazionali e regionali ad attribuire al tema della sicurezza informatica un'importanza centrale: lo scorso 10 marzo l'ONU ha adottato per consenso un rapporto, redatto dall'Open-Ended Working Group (OEWG) sugli sviluppi nel campo delle tecnologie dell'informazione (ICT), in cui emerge la necessità di aumentare la cooperazione in questo settore per garantire la sicurezza e la pace internazionale.
Pur non avendo carattere vincolante, per la prima volta la Comunità internazionale ha riconosciuto la necessità di adottare misure concrete per mitigare i rischi e contrastare l'aumento delle minacce informatiche su scala globale.
Cosa possono fare le aziende e i professionisti per proteggersi da eventuali attacchi informatici?
Da un punto di vista cyber non esiste il rischio 0 ma si possono creare sistemi di protezione che allontanino il più possibile potenziali "hacker" e ne allunghino esponenzialmente le tempistiche di lavoro rendendo, quindi, "meno conveniente" un potenziale attacco.
•Identificazione dei rischi: il primo passo è elaborare un piano di sicurezza, si impone la necessità da parte di aziende e professionisti di analizzare le possibili fonti - e i diversi scenari del rischio cyber che possono colpire l'azienda - e capire come si possano mitigarli a livello privato, aziendale e istituzionale.
Bisogna partire da una mappatura sul proprio perimetro di vulnerabilità del dato informatico: ossia, capire quali sono i propri perimetri informatici, che tipologia di infrastrutture si utilizzano, quanti e quali strumenti IT sono in uso e come vengono presidiati.
•Valutazione dei rischi: valutare la probabilità di accadimento, l'impatto e la rilevanza dei rischi per l'organizzazione.
•Identificazione delle attività di mitigazione: bisogna, successivamente, passare a una definizione delle corrette attività di prevenzione e protezione da attuare (firewall, controlli degli accessi, etc), pianificare e attuare tali misure nei parametri di sostenibilità aziendali.
•Trasferimento del rischio: è opportuno valutare di trasferire il rischio residuo ad una compagnia assicurativa per un supporto, sia a livello operativo, sia economico per danni arrecati a terzi o per un eventuale risarcimento del danno proprio all'azienda, legato – ad esempio – alle perdite per un blocco dei sistemi produttivi, per malfunzionamenti software causati da introduzione di malware, un'estorsione cyber o, ancora, per un danno reputazionale, successivo alla comparsa sui mezzi di informazione di un contenuto denigratorio o diffamatorio.
_____
*A cura di Paolo Tanfoglio, CEO di Lokky
