Cybersecurity e fattore umano, siamo tutti in ‘trincea 2.0′
La posta elettronica è ancora il principale veicolo con cui vengono perpetrati gli attacchi informatici. Truffe, estorsioni, intrusioni e furti di proprietà intellettuale molto spesso partono da una banale – quanto letale – azione di phishing. Si capisce, quindi, perché il tema della cybersecurity non possa essere appannaggio solo degli addetti ai lavori (a riguardo, Sistemi&Impresa ha realizzato un’inchiesta sul numero di ottobre 2019).
È la persona, l’utente comune che quotidianamente naviga su Internet e legge le email a rappresentare l’anello debole della catena. Per costruire le difese adeguate, non si può che partire dalla formazione del personale. Fabio Rugge, Capo dell’Osservatorio Cybersecurity Ispi e Capo ufficio responsabile per la Nato e le questioni di sicurezza politico-militari del Ministero per gli Affari esteri, ha coniato l’espressione “trincea 2.0”.
“In questa guerra cibernetica, con le difese che spariscono, siamo tutti in prima linea come individui. Siamo stati responsabilizzati e dobbiamo essere in grado di reagire con rapidità e di attaccare a nostra volta”, ha detto nell’ambito del convegno Cybersecurity-un ecosistema fatto di persone, organizzato da Nòva 24-Il Sole24Ore in collaborazione con Assolombarda e Cini a Milano.
Poca consapevolezza in azienda
In Italia, mentre i dati sui reati diminuiscono, quelli sugli attacchi cyber aumentano. In media ne vengono rilevati 518 al giorno. Accanto alle finalità più classiche – frodi e spionaggio – ne stanno emergendo di nuove, a partire dalla manipolazione dell’opinione pubblica, come ha rilevato l’Osservatorio Information Security & Privacy del Politecnico di Milano. Ma a cambiare sono anche i dispositivi presi di mira: non più solo email, account social, device mobili, siti aziendali e di ecommerce, ma anche smart house, smart building, speaker e veicoli connessi. Il fattore umano – come ha confermato il Direttore dell’Osservatorio, Alessandro Piva – è tra i principali fattori di rischio quando si parla di sicurezza informatica. L’82% delle 166 grandi imprese (oltre i 250 dipendenti) interpellate ha detto di considerare la distrazione e la scarsa consapevolezza dei dipendenti come le criticità prevalenti. Eppure, una realtà su cinque non ha introdotto alcun piano di formazione sulla security, per lo più a causa della scarsa sponsorizzazione da parte del top management (52%), ma anche per mancanza di budget (24%). Spesso, inoltre, l’approccio della formazione è solo di tipo passivo (lezioni frontali, corsi online, newsletter) e, in un caso su due, è affidato in toto al personale interno, senza il coinvolgimento di specialisti esterni né la condivisione di buone pratiche con altre aziende. Infine, meno di una grande impresa su due ha in organico un Ciso (Chief Information Security Officer), percentuale che scende al 15% tra le PMI.Mancano 3 milioni di professionisti
Ma non è solo la scarsa consapevolezza del problema a impedire alle imprese di attrezzarsi. È anche la forza lavoro specializzata a scarseggiare. A livello globale, secondo i dati del Cybersecurity Workforce Study 2018, mancano quasi 3 milioni di professionisti nella cybersecurity, di cui 140mila in Europa. Il fabbisogno del settore cresce del 300% in più rispetto a quello totale del comparto cyber technology. Eppure, secondo Michele Fabbri, Ciso di Saras, si tratta di una professione “multidisciplinare”, a cui non si accede per forza con un percorso di studi di tipo tecnico. Alcuni atenei l’hanno capito: come il Politecnico di Milano e l’Università Bocconi, che hanno da poco avviato il corso di laurea magistrale congiunto in Cyber Risk Strategy and Governance. Chi invece si concentra sulla fascia ancora più giovane è il Consorzio Interuniversitario Nazionale per l’Informatica (Cini). Attraverso il suo Cybersecurity National Lab, il Cini ha dato vita a CyberChallenge.it, programma rivolto ai talenti tra i 16 e i 23 anni che affianca a un’attività formativa tradizionale un approccio orientato alla gamification che si traduce nella partecipazione a competizioni online che simulano scenari di reti e ambienti lavorativi reali.L’appello agli incentivi
Resta il fatto che, per una PMI, attrezzarsi contro i rischi delle cyber minacce in termini di infrastrutture e di competenze è spesso un costo eccessivamente alto. E quindi si rimanda la spesa. Di qui l’appello rivolto alla politica da Alvise Biffi, Coordinatore Steering Committee Cyber Security di Assolombarda e Presidente di Piccola Industria Confindustria Lombardia: servono incentivi economici. “La digitalizzazione prevista dal piano Industria 4.0 è diventata mainstream solo quando sono arrivati i fondi, e quindi gli ammortamenti. Prima era un tema per pochi appassionati”. Eppure, secondo Biffi, l’attuale fase di stagnazione sarebbe il momento perfetto per avvicinarsi al tema: mettersi al lavoro oggi per avere un vantaggio domani. Perché tra pochi anni “le aziende si divideranno tra chi si è messo al sicuro e chi no”.Assolombarda, Cybersecurity, innovazione pmi, Sicurezza Informatica, trincea 2.0