Sicurezza aziendale

AssetProtection. Cultura del rischio, quello che le aziende non sanno

di Anthony Cecil Wright, presidente Anssaif (Associazione Nazionale Specialisti Sicurezza in Aziende di Intermediazione Finanziaria) |

Alla domanda relativa ai timori percepiti in merito alla sicurezza, il 72% delle aziende è abbastanza preoccupato riguardo possibili attacchi informatici. Ma investono abbastanza?

La rubrica AssetProtection, ovvero Riflessioni su sicurezza e terrorismo, a cura di Anthony Cecil Wright, presidente Anssaif (Associazione Nazionale Specialisti Sicurezza in Aziende di Intermediazione Finanziaria). Per consultare gli articoli precedenti clicca qui.

La recente indagine del Politecnico di Milano su un campione di 237 aziende presenta diversi aspetti interessanti e colgo l’occasione per soffermarmi su alcuni di essi. Alla domanda relativa ai timori percepiti in merito alla sicurezza, il 76% delle aziende ha dichiarato che è molto o abbastanza preoccupata per quanto riguarda la perdita o il furto di dati sensibili dell’azienda. Per quanto riguarda i possibili attacchi informatici ben il 72% è molto o abbastanza preoccupato. Si scende al 61% per quanto riguarda i danni reputazionali del brand.

Quest’ultimo dato lascia forse un po’ perplessi in quanto la perdita di dati sensibili, o le conseguenze di un attacco informatico come il blocco del servizio o del prodotto, hanno comunque nella gran parte dei casi un impatto sulla reputazione e sull’immagine dell’azienda (domando: viene fatta correttamente una valutazione del possibile impatto conseguente ad un atto malevolo? Le imprese conoscono e sanno applicare correttamente la business continuity?).

Cosa fanno le aziende del campione?

Notiamo che l’84% in media investe sulla sicurezza della rete, il 79% sulla sicurezza dei dati, e il 51% sui rischi della compliance.

Siccome non si fa cenno alle attività di sensibilizzazione del personale, queste forse sono state comprese nella gestione dei rischi e della compliance. E’ comunque un dato che lascia perplessi! Non sappiamo come si divide l’investimento tra compliance e  miglioramento della cultura interna nell’affrontare i rischi sia finanziari sia operativi e reputazionali (derivanti da frodi, interne od esterne; da errori; da furti, ecc.);  possiamo però dire, leggendo questi dati, che l’attenzione è maggiore nel fabbricare i muri perimetrali che nel convincere le persone, ad esempio, a stare attente a ciò che scaricano da Internet!

Un altro dato che induce a riflettere: la stessa indagine indica che solo il 38% ha detto che investe sulla sicurezza del “mobile” e sappiamo quante informazioni riservate vi sono sugli smartphone e sui tablet! (Non viene da domandarsi se le imprese hanno le idee chiare di cosa va fatto, e con quali modalità?).

Dall’indagine emerge anche che appare un miglioramento rispetto al passato, ma lascia perplessi il pensare che aspetti rilevanti, come la reputazione e la attenzione ai  rischi operativi, non abbiano la giusta considerazione.

Incoraggia però il fatto che si noti un forte e crescente interesse ed impegno da parte delle Istituzioni, a tutti i livelli, nei confronti del cybercrime: ciò lascia anche ben sperare sui prossimi passi delle aziende per proteggersi da attacchi sempre più sofisticati. Infatti, la minaccia cresce in qualità e quantità.

Come afferma l’articolo pubblicato nell’inserto Nova del Sole24ore dell’8 febbraio:

“La cosa più emozionante del mercato della sicurezza-dice Monticelli-è che ogni sei mesi cambia tutto. Le sfide si susseguono, una diversa dall’altra, e non ci si annoia di certo”.

Ci si può difendere dalle continue nuove minacce nella misura in cui ogni azienda pianifica e si muove nella direzione di sensibilizzare il suo personale ai rischi, ossia, nel saper sfruttare le opportunità che si presentano, e che il mondo digitale offre, conoscendo le possibili minacce e proteggendo sé stesso e l’azienda: ciò è soprattutto importante per la tutela del lavoratore.

Ciò va fatto in modo non “talebano”, ma progressivamente, con modalità condivise in quanto coerenti con la “mission” dell’impresa e con le personalità e sensibilità dei destinatari.

In parallelo auspichiamo interventi centralizzati coordinati, e certificati, di sensibilizzazione della popolazione (e non i tanti attuali “rivoli” di interventi, inventati da persone in buona fede, ma troppo spesso tarati sulla esperienza e sensibilità degli erogatori e non a sufficienza e correttamente su quella dei destinatari).