Una frase ricorre spesso nel mondo digitale e interconnesso in cui ormai viviamo: i dati sono l’oro del XXI secolo. Per questa ragione proteggerli e custodirli in modo appropriato è quanto di più importante un decision maker possa fare all’interno della propria azienda.
A tal proposito, infatti, il rischio principale che si corre al giorno d’oggi è il fatto che i propri dati, compresi quelli riservati che rappresentano “la proprietà intellettuale” giungano in possesso di soggetti terzi, che possono leggerli, utilizzarli in modo dannoso o perfino esporli su piattaforme pubbliche. La virulenza dell’attacco, però, può spingersi oltre, arrivando al blocco totale dei sistemi aziendali tramite crittografia dei dati o dei sistemi applicativi. In questo caso, semplicemente ma tragicamente, l’Azienda non è più in grado di svolgere la propria attività, in quanto dati ed applicazioni divengono inaccessibili. Quando ciò accade, si è vittima di un cosiddetto “rapimento” dei propri sistemi informatici, ed i rapitori – statene certi – si faranno presto vivi con la richiesta di riscatto, che potrà essere variabile di importo e dovrà essere pagata tramite canali certamente non tracciabili e di dubbia legalità.
La tipologia delle estorsioni, poi, può essere di varia natura: la più semplice è pagare il riscatto per avere i propri sistemi sbloccati. Ma c’è anche una seconda ipotesi che consta nel pagare il riscatto per evitare che i dati “rapiti” siano resi pubblici. Una terza tipologia di estorsione, poi, arriva a dover scongiurare un vero e proprio ricatto: un’accusa di diffamazione da parte dell’attaccante riguardo le scarse e inefficaci capacità di difesa cibernetica della vittima.
Interessante notare che fra i vari attacchi tentati nelle aziende italiane nel 2022 si sono registrati 111 casi di riscatto pagato che sono stati regolarmente denunciati.
Particolarmente importante, e concettualmente legato a quanto appena affrontato, è l’aspetto relativo alla di conformità alle leggi vigenti, sia a livello europeo che italiano. Anche in assenza di un attacco Cyber, infatti, un’azienda può rendersi inconsapevolmente inadempiente a normative – come la GDPR – e rischiare sanzioni di notevole entità.
Questo tema è fortemente collegato anche alla nuova direttiva europea in tema di rendicontazione non finanziaria. Addentrandoci in ambito prettamente tecnico, si osservi che, in ottica di Sostenibilità, la sicurezza dei dati – di clienti, fornitori o propri – rappresenta un tema materiale comune a molte industry, indipendentemente dagli indicatori scelti per il Bilancio di Sostenibilità (SASB, GRI, EFRAG).
I temi rilevanti, o materiali, devono inoltre essere valutati sia come impatto, che come potenziale rischio; e i sistemi di gestione o riduzione del rischio concorrono a migliorare il profilo di Sostenibilità dell’azienda, rendendo la proattività verso il tema della Cybersecurity ancora più importante e necessaria.
Si stima, inoltre, che solo una parte degli incidenti Cyber siano effettivamente stati denunciati dalle vittime che li hanno subiti. Questo a causa del fatto che l’azienda ritiene spesso cruciale non far sapere quando i propri sistemi sono stati vittima di attacco. Ciò sia per una questione di reputazione, sia per possibili danni arrecati ad altre aziende in relazione B2B con l’azienda danneggiata.
Per un’azienda che offre ai propri clienti servizi di gestione del personale, ad esempio, la riservatezza dei dati è la prima responsabilità che il cliente richiede e, se violata, presenta il rischio di incorrere in ingenti penali. A ciò si aggiunge ovviamente il danno di immagine, in quanto difficilmente si troveranno nuovi clienti disposti a dare fiducia ad un’azienda non in grado di proteggere i propri dati.
Alcuni studi stimano in circa €5M il danno medio procurato da ogni singolo evento di attacco Cyber andato a buon fine. Introducendo il tema assicurativo, di cui parleremo approfonditamente più avanti, è interessante notare che in passato le compagnie assicurative erano solite offrire polizze specifiche per attacchi cyber ad un costo relativamente abbordabile. Oggigiorno, invece, considerato il proliferare degli incidenti e la difficoltà a stimare con precisione il danno procurato, esse tendono ad offrire le polizze a costi ben maggiori, di fatto scoraggiando i propri clienti a seguire questa strada. Se invece l’azienda non dà nemmeno evidenza alcuna di iniziative specifiche atte a limitare il rischio di attacchi Cyber, la compagnia tenderà addirittura a rifiutare l’erogazione della polizza.
Un’azienda che non si è mai posta il problema della Cybersicurezza non ha, di conseguenza, la percezione del suo posizionamento in termini di rischio. Per questo motivo, la più urgente priorità sarebbe un assessment al fine di evidenziare tutti i fattori di rischio a cui l’azienda è attualmente esposta.
Al termine dell’assessment viene solitamente presentato un report che prioritizza i fattori di rischio, ed in base a questa classificazione, si propone un piano di azione con tempi e costi stimati finalizzato alla risoluzione dei vari gap evidenziati.
L’azienda potrà quindi consapevolmente prendere delle decisioni mirate sull’urgenza delle azioni proposte. Completate le fasi di assessment e remediation, l’organizzazione dovrà affrontare la questione della continuità del supporto Cyber. Le soluzioni identificate ed implementate oggi possono divenire presto obsolete o incomplete, ed è necessario dunque un approccio organizzativo-consulenziale che sia continuativo nel tempo (denominato in gergo tecnico con l’acronimo SOC, ovvero Security Operation Center).
ERA possiede la competenza e l’esperienza necessarie per accompagnare i propri clienti nella gestione di un progetto di Cybersecurity in tutte le sue fasi, dall’assessment iniziale all’implementazione del piano di remediation; sia dal punto di vista tecnico che da quello assicurativo.
Nello specifico, forte della propria conoscenza del mercato e della propria indipendenza da qualunque fornitore, ERA è in grado di:
- raccogliere i requisiti specifici di ogni azienda
- formulare un capitolato di servizi adeguato ai requisiti e al budget di spesa disponibile
- identificare i partner tecnologici più adeguati
- gestire la gara di appalto del servizio
- analizzare le offerte ricevute con un modello di valutazione comparativo basato su indicatori concordati con il cliente
- supportare il cliente nella scelta finale
- offrire un servizio qualificato di Project Management durante l’esecuzione dell’assessment
- aiutare il cliente nella valutazione finale del report di rischio e del piano di remediation
- offrire un servizio qualificato di Project Management durante la fase di implementazione del piano di remediation
- aiutare il cliente nella fase di stabilizzazione operativa del supporto Cyber.
Se desideri approfondire il tema della Cybersecurity nel suo complesso, clicca QUI e scarica il nostro ultimo Market Intelligence, volto proprio ad analizzare rischi ed opportunità del mondo digitalizzato in cui ormai le aziende operano.