Professione e Mercato

Cyber Risk e imprese: come identificare e gestire i rischi informatici

A dicembre 2020 la CE e il servizio europeo per l'azione esterna (SEAE) hanno presentato una nuova strategia dell'UE per la cybersicurezza con l'obiettivo di rafforzare la resilienza dell'Europa a fronte delle minacce informatiche.

di Vincenzo Carolla*

Ogni impresa è minacciata continuamente da rischi che possono intaccare i sistemi informatici: furti di dati e attacchi cyber mettono in grave pericolo la continuità aziendale.

Le attività a presidio di tali rischi sono diventate una priorità per tutto il tessuto imprenditoriale e istituzionale; in questi ultimi due anni abbiamo, infatti, vissuto in un'emergenza che ha imposto il cambiamento degli assetti organizzativi di aziende e PA in tempi molto brevi, con conseguenze inevitabili sulla vulnerabilità dei sistemi informatici.

Molte imprese hanno subito ingenti perdite per un blocco dei sistemi produttivi, malfunzionamenti software causati da introduzione di malware, estorsioni cyber o danni reputazionali per la pubblicazione di contenuti denigratori o diffamatori.

A dicembre 2020 la CE e il servizio europeo per l'azione esterna (SEAE) hanno presentato una nuova strategia dell'UE per la cybersicurezza con l'obiettivo di rafforzare la resilienza dell'Europa a fronte delle minacce informatiche. Questo nuovo piano include proposte concrete per l'introduzione di strumenti normativi, strategici e di investimento. A marzo 2021 il Consiglio ha adottato conclusioni sulla strategia in materia di cybersicurezza, sottolineando quanto essa sia essenziale per costruire un'Europa resiliente, green e digitale.

L'UE coopera, inoltre, in materia di difesa nel ciberspazio attraverso le attività dell'Agenzia europea per la difesa (AED), in collaborazione con l'Agenzia dell'UE per la cybersicurezza ed Europol.

Come si è evoluto lo scenario dei cyber attacchi in questi ultimi anni?

Dai dati dell'Osservatorio Cyber Security & Data Protection - Politecnico di Milano 2020, emerge che l'utilizzo di reti domestiche ha esposto le aziende a maggiori rischi di sicurezza e per il 49% di esse sono aumentati gli attacchi informatici. Secondo un recente report di DLA Piper, dal 25 maggio 2018, l'Italia si è classificata seconda in Europa per numero di violazioni con 83 interventi dell'Autorità Garante ed è terza per multe complessive pari a quasi 80 milioni di euro. E, secondo i dati del World Economic Forum, ben 4 aziende su 10 hanno dichiarato di aver subito attacchi informatici negli ultimi due anni .

Tra le minacce più frequenti alle piccole e medie imprese ci sono ransomware, furto di credenziali, phishing, spyware, malware per dispositivi mobili, violazione dei dati, condivisione di file impropria, spam malevolo, DDoS e malware. Queste tipologie di attacchi sono state, inoltre, identificate come la principale causa di preoccupazione per il 44% delle imprese nel 2022, superando in classifica le difficoltà di approvvigionamento della supply chain, i disastri naturali, il cambiamento climatico e l'evoluzione della pandemia.

Sebbene, però, la cyber security inizi a rappresentare un'urgenza anche per le aziende meno strutturate, da un'analisi dei dati emerge che soltanto il 22% delle PMI sia riuscita a stanziare dei fondi per la tutela di questi rischi, il 20% ha dovuto ridurre i costi in seguito all'emergenza e ben un'azienda su tre non ha un budget da dedicare a questa attività. Inoltre, nel panorama europeo, meno del 30% delle piccole e medie imprese si avvale della valutazione del rischio ICT , contro il 70% delle grandi aziende, a causa della mancanza di fondi per sviluppare le infrastrutture o per assenza di consapevolezza.

Le tradizionali misure di sicurezza, però, non bastano più, le imprese devono lavorare e creare sistemi di protezione. Il primo step per combattere eventuali attacchi informatici è la prevenzione e la mappatura del perimetro di vulnerabilità del dato informatico: è necessario identificare le risorse della propria azienda, mettendo a fuoco i punti critici della propria infrastruttura elettronica e i differenti scenari di rischio e capire come si possano mitigare.

Bisogna, inoltre, considerare il contributo di tutto il personale aziendale che deve essere formato e sostenuto dal Top Management; accanto ai tradizionali antivirus, è importante definire delle best practice condivise di prevenzione e protezione da attuare, come firewall, controlli degli accessi, piani di disaster recovery e eventuali sistemi di crittografia.

Oltre a valutare di trasferire il rischio residuo a un broker assicurativo, è importante, inoltre, che le imprese sviluppino una cultura di prevenzione efficace e predittiva dei rischi e si dotino degli strumenti di controllo interno in grado di integrare i diversi livelli di operatività, come ad esempio: l'implementazione del sistema di monitoraggio dei rischi, anche attraverso l'applicazione dell'intelligenza artificiale e del machine learning per identificare relativi indicatori predittivi della rischiosità; la definizione del framework e la progettazione di sistemi per la gestione integrata e digitalizzata dei processi di gestione dei rischi, dei controlli e delle relative azioni correttive; la definizione di modelli e l'implementazione delle soluzioni tecnologiche per la gestione degli adempimenti.

Gli attacchi informatici sono sempre più frequenti e le imprese, soprattutto di grandi dimensioni, sono sotto l'occhio dei cybercriminali. La tecnologia e l'implementazione di un piano di gestione integrata dei rischi risultano, quindi, elementi fondamentali nel supportare le aziende a essere più cyber-resilienti, soprattutto in presenza di particolari complessità.

*a cura di Vincenzo Carolla, Managing Partner di IMC Group

Per saperne di piùRiproduzione riservata ©