Skip to main content

Formazione e cultura del dato, così le PMI implementano la cybersecurity

aperitivo cyber

La cybersecurity è ormai un tema centrale per le imprese: rappresenta una questione complessa che richiede competenze multidisciplinari e non può essere affrontata esclusivamente attraverso l’adozione di tecnologie. A tal proposito, il MADE Competence Center Industria 4.0, uno degli otto poli di innovazione creati nell’ambito del programma Industria 4.0 per guidare le imprese verso nuovi strumenti e formare gli imprenditori su progetti di innovazione e ricerca, martedì 4 giugno, ha ospitato l’evento “Cybersecurity: sfide e opportunità”. Questo incontro, organizzato in collaborazione con FabbricaFuturo, progetto multicanale di Edizioni ESTE, e con la sua rivista Sistemi&Impresa, ha permesso di discutere con esperti e manager aziendali sulle tematiche della cybersecurity e sulle soluzioni di difesa dagli attacchi informatici.

Moderato da Alessia Stucchi, redattrice di Sistemi&Impresa, rivista specializzata sull’impatto organizzativo delle tecnologie, l’evento ha offerto ai partecipanti, sia in presenza che online, approfondimenti teorici e casi pratici di sicurezza informatica. La parte teorica è stata illustrata da Stefano Zanero, Professore di Cybersecurity al Politecnico di Milano, che ha partecipato anche a una tavola rotonda con i manager aziendali: Lorenzo Bossoletti, IT Manager di Valmex, un’azienda che produce scambiatori di calore per il settore idrotermosanitario (400 dipendenti e 120 milioni di euro di fatturato), e Alice Ruscitto, IT Manager di Fratelli Mauri, che produce soluzioni di fissaggio di alta qualità (90 dipendenti e 23 milioni di euro di fatturato). Entrambi hanno raccontato i loro progetti di cybersecurity sviluppati in collaborazione con MADE I4.0.

La mancanza di dati certi riguardo agli attacchi cyber

L’evento è iniziato con un’analisi del concetto di rischio in relazione alla cybersecurity. Anche se il rischio è definito da due elementi – la probabilità di accadimento e il potenziale di danno – nella sicurezza informatica la valutazione del rischio è complessa. Questo perché il danno potenziale può estendersi oltre l’azienda, coinvolgendo terzi (ad esempio, un blocco della logistica o della sanità), e perché è difficile quantificare la probabilità di accadimento, dato che molti rischi sono eventi rari.

“Considerando questi fattori, invece di un approccio quantitativo, si può adottare un approccio qualitativo che consideri la valutazione della vulnerabilità e la presenza della minaccia, senza necessariamente quantificarla”, ha spiegato Zanero. La complessità dell’approccio quantitativo è aggravata dalla mancanza di dati certi, poiché spesso gli attacchi alle aziende non vengono denunciati e i dati raccolti sono incompleti o non sistematizzati.

Data la complessità dello scenario, le aziende devono identificare le proprie vulnerabilità, accentuate dall’Industria 4.0 e dalla connessione di dispositivi e macchinari. “La maggior parte dei sistemi industriali sono inseriti in un contesto di Industria 4.0 che connette i macchinari a Internet. Automatizzare la produzione e dare alla persona un ruolo di supervisore è positivo, ma l’interconnessione apre nuove porte e rende gli attacchi informatici più dannosi”, ha proseguito il professore. Le aziende devono quindi adottare misure di sicurezza adeguate per proteggere i sistemi critici e minimizzare i rischi.

Valmex e Fratelli Mauri, la consapevolezza è un processo

Se questa è la teoria e lo stato attuale della cybersecurity in Italia, alcune aziende hanno già realizzato progetti significativi. Ad esempio, Valmex ha mappato i processi, analizzato gli asset e l’infrastruttura, segregato le reti e promosso la cultura aziendale sul valore dei dati. Fratelli Mauri ha intrapreso un percorso simile, il cui progetto in corso include il setup e la gestione del progetto, l’analisi di open source intelligence (Osint), la comprensione del contesto tecnico e organizzativo, e campagne di phishing e vulnerability assessment & penetration test.

I due progetti, pur realizzati in settori differenti, condividono la necessità di agire tempestivamente. “Era fondamentale comprendere le nostre vulnerabilità, dato che abbiamo sviluppato progetti di Industria 4.0 e i nostri macchinari sono interconnessi”, ha spiegato Bossoletti. “Il progetto è stato per noi un’analisi approfondita della situazione, ma soprattutto un punto di partenza per un approccio più strutturato alla sicurezza informatica, visto che tre anni fa in azienda non esisteva una figura IT interna”, ha aggiunto Ruscitto.

Oltre alle sfide introdotte dall’Industria 4.0, entrambe le aziende hanno riconosciuto l’urgenza di sviluppare una cultura aziendale diffusa. Per sensibilizzare il personale e testare il livello di consapevolezza, hanno organizzato campagne di simulazione di phishing. I risultati non sono stati incoraggianti, poiché le email di phishing sono sempre più personalizzate e difficili da riconoscere. L’apertura di un link di phishing può bloccare la produzione, un effetto collaterale delle attività dei criminali informatici che causa danni a tutta l’organizzazione.

Per affrontare queste minacce, è fondamentale puntare sulla formazione del personale, compresi gli IT, come ha spiegato Bossoletti: “L’IT manager ha una grande responsabilità nel rilevare le minacce. Serve una preparazione e una competenza adeguata”. Prima di formare le persone, però, è necessario trovarle e mantenerle in azienda, poiché molte figure professionali altamente competenti sono attratte da offerte competitive all’estero, come ha riferito il manager di Valmex.

Formazione, cultura del dato e tecnologia sono passaggi essenziali per tutte le aziende che vogliono difendersi dagli attacchi informatici. Il vantaggio delle PMI è avere una catena decisionale corta e quindi la possibilità di evolvere rapidamente. Di fronte alle conseguenze negative degli attacchi, l’assenza di strategia e consapevolezza non è più accettabile.

Fratelli Mauri, Made Competence Center Industria 4.0, Stefano Zanero, Valmex


Alessia Stucchi

Alessia Stucchi è giornalista pubblicista. Laureata in Lettere Moderne in triennale e in Sviluppo Economico e Relazioni Internazionali in magistrale. Nel 2023 ha vinto il premio America Giovani della Fondazione Italia Usa che le ha permesso di conseguire il master Leadership per le relazioni internazionali e il made in Italy. Nel tempo libero si dedica alle camminate, alla lettura e alle serie tivù in costume.