Le PMI purtroppo sottovalutano ancora troppo la minaccia cibernetica ma in realtà sono un bersaglio molto attraente per i cyber criminali. Non importa quale sia il business di una PMI, ogni azienda è appetibile per un cyber criminale. Qualsiasi informazione di tipo commerciale, dati personali, indirizzi e-mail, know-how ecc. è vendibile al mercato nero per commettere frodi, per diffondere malware e per mettere in atto altri crimini. Le perdite dovute al cyber crime possono anche arrivare a diversi milioni di euro per le singole aziende. I fattori che i criminali informatici considerano sono semplicemente la presenza di soldi o dati da rubare e la facilità di violare un obiettivo, e le PMI purtroppo soddisfano entrambi questi requisiti.
Non sono solo dai danni prodotti dall’attacco in sé, ma soprattutto dalle conseguenze che questi attacchi causano nel lungo periodo ad essere i maggiori pericoli a livello aziendale. Assistiamo infatti sempre più ad attacchi mirati come l’appropriazione dei dati sensibili, la cancellazione dei dati stessi o il furto di materiale coperto da copyright.
Nell’attuale era digitale la sicurezza informatica e il corretto uso del web e dello strumento informatico da parte di ogni singolo cittadino, ma soprattutto da parte delle aziende, deve necessariamente essere un elemento da considerare come prioritario.
Uno degli aspetti più preoccupanti è che la maggior parte degli attacchi non viene ancora rilevata e denunciata, la criminalità informatica è in realtà più forte e diffusa di quanto si possa pensare.
Inoltre le aziende non sempre si accorgono di essere state violate e spesso non sanno come proteggersi, credendo erroneamente che le azioni da mettere in atto siano solo di tipo tecnico e che siano economicamente impegnative.
La sicurezza non deve essere vista solamente come uno stato finale, ma piuttosto come il risultato di un processo che coinvolga costantemente e coerentemente tutte le azioni in ambito IT. Un processo che diventi parte integrante dei percorsi aziendali e che possa svilupparsi, evolvere ed attuarsi nel tempo, sulla base delle minacce.
Recentemente l’Istituto Interregionale delle Nazioni Unite per la Ricerca sul Crimine e la Giustizia (UNICRI) ha sviluppato e pubblicato le Linee guida per la sicurezza nelle Pmi. L’esigenza di un quadro di assistenza nell’attuazione di misure di sicurezza informatica che comprenda non solo strumenti tecnici quali antivirus, firewall ecc., ma soprattutto uno schema strategico da attuare per costruire un piano che possa essere sostenibile nel tempo sulla base delle evoluzioni delle minacce ci ha portato a sviluppare uno studio che riguarda in particolar modo le piccole e medie imprese; focus non comune nella reportistica inerente alla sicurezza informatica.
La prima ricerca sul tema condotta da UNICRI e pubblicata nel 2014 evidenziava un livello molto basso di conoscenza delle minacce informatiche e delle relative contromisure da parte delle PMI. Il valore aggiunto dell’indagine svolta è stato quello di combinare l’approccio qualitativo delle interviste agli attori coinvolti nel contrasto agli attacchi informatici, con un approccio molto pratico e diretto per far emergere i maggiori rischi e le vulnerabilità per le imprese. Le interviste con i rappresentanti delle istituzioni e le aziende hanno aiutato a chiarire le principali criticità e messo in luce la necessità di adottare una strategia coerente che consentisse alle PMI di contrastare i crimini informatici in modo efficace.
Dallo scenario presentato inizialmente e dall’analisi dei gap esistenti, emersi dalla prima ricerca del 2014, è nata l’idea di costruire uno schema di linee guida che possa essere il più possibile esaustivo, ma al contempo facilmente comprensibile e soprattutto adattabile alle diverse tipologie di PMI presenti sul nostro territorio.
L’ultima ricerca pubblicata nel 2015 contiene delle linee guida per la sicurezza informatica per le PMI, che possono essere d’aiuto per colmare i gap emersi durante la precedente indagine e sostenere le PMI nella lotta ai crimini informatici. Le linee guida sono state redatte pensando ai principali settori di un’azienda. Attraverso l’analisi di questi settori, le PMI sono facilitate nell’adottare le linee guida più adatte alla loro specifica struttura. Per ogni area sono stati identificati gli asset aziendali più importanti e per ognuno di essi sono state evidenziate, secondo un ordine di priorità, le best practices che possano aiutare a gestire e mitigare al meglio i potenziali rischi. Aziende leader del settore come Microsoft, IBM, Kaspersky e Fastweb sono state coinvolte per validare le linee guida contenute nello studio.
Tra le linee guida vengono proposte, per esempio, indicazioni concrete per la protezione dei dati sensibili oppure indicazioni specifiche per la gestione del cloud. Nella redazione delle linee guida si è data particolare attenzione non solo agli aspetti tecnici ma anche a quelli comportamentali, in quanto la maggior parte delle minacce sfruttano le possibilità offerte dall’errore umano.
L’obiettivo di questi studi è quello di creare una solida cultura della sicurezza informatica attraverso una serie di azioni concrete che coinvolgono anche le piccole e medie imprese. L’obiettivo di UNICRI è quello di continuare a produrre ricerche di qualità su tematiche attuali ed emergenti (quali la sicurezza in ambito start-up e la sicurezza dei big data), con la possibilità di estendere la ricerca ad altri paesi e regioni, rafforzando altresì l’analisi comparata, che attualmente è stata prodotta su uno scenario più generale.
In questo periodo UNICRI sta concentrando il suo lavoro nella ricerca di partner finanziatori per la realizzazione di uno studio sulla cyber security nella supply chain e specificamente nel settore health.
I rischi alla sicurezza informatica nel settore health sia pubblico che privato rappresentano oggi una minaccia seria e insidiosa e purtroppo ancora troppo poco considerata. Un’indagine approfondita e strutturata di tipo qualitativo in questo ambito è essenziale per poter mettere in atto valide contromisure.
Questo darà continuità allo studio già pubblicato e permetterà di sviluppare un nuovo framework specifico per il settore health.
Data l’esigenza di investire in formazione, che è l’aspetto primario emerso in tutte le interviste, così come la necessità di far fronte a una ridotta cultura della sicurezza e consapevolezza dei rischi, l’UNICRI è in grado di sviluppare programmi di formazione e campagne di informazione multidisciplinari e dedicati a pubblici diversificati.
