Pur di fronte ad attacchi informatici di scala mondiale, come WannaCry e Petya, e alle stime di Ponemon e IBM, secondo cui ammonta a 4 milioni di dollari la perdita economica media causata a un’azienda da una violazione dei sistemi nel corso del 2016, il cyber crimine è un problema ancora troppo sottovalutato.
Lo dicono i dati dell’edizione 2017 del Global Risk Landscape, il report annuale della società di revisione contabile e consulenza alle imprese BDO secondo cui, tra i primi fattori di rischio citati da ben il 72% dei top manager delle aziende di tutto il mondo intervistati e concordi nel dire che viviamo in un mondo più rischioso rispetto al passato, solo il 21% pensa che il cyber crimine coglierà impreparato la propria azienda.
Tra i primi tre fattori di rischio citati, non compare, infatti, quello cibernetico, surclassato dalle preoccupazioni sulla non conformità rispetto alle normative (35%), dalla crescente competizione nel mercato (30%) e dalla crisi economica (29%).
Il budget in cyber security andrebbe aggiornato annualmente
Come commentato in una nota ufficiale Lorenzo Mazzei, Partner Intelligence & Cybersecurity di BDO Italia: «La cyber security è indubbiamente diventata un focus specifico per molte imprese, ma non tutte investono le cifre davvero necessarie a prevenire un rischio del genere. Spesso i leader aziendali considerano la cyber sicurezza un segmento a sé, mentre invece sarebbe molto utile includere anche il lato informatico nei piani strategici generali di rischio. Non si tratta di spendere una cifra fissa per la cyber security, come molte aziende fanno ad oggi, bensì di valutare tutti i fattori di rischio, anche non cibernetici, della propria azienda e stanziare un budget adeguato al livello di rischio generale. Si tratta di una misura di prevenzione che deve essere aggiornata almeno annualmente, perché i fattori del rischio cibernetico cambiano molto velocemente: ciò che oggi è accettabile, potrebbe trasformarsi in un pericolo in meno di 12 mesi. Bisogna, inoltre, comprendere che il cyber rischio non è solo una questione del dipartimento IT, ma è un fattore che deve essere contemplato all’interno di tutta l’organizzazione aziendale, comprendendo anche stakeholder, fornitori e terze parti esterne all’organizzazione».
Otto passi verso la cyber resilienza
E se evitare totalmente le violazioni di dati è quasi impossibile, per BDO sono otto gli step che ogni azienda dovrebbe intraprendere per potersi definire resiliente agli attacchi cibernetici.
1. Il primo, è sicuramente quello di aggiornare costantemente i sistemi informatici di sicurezza con le ultime versioni software disponibili, per evitare le cosiddette 0-day, vulnerabilità di sicurezza non pubblicamente note.
2. Il secondo passo è installare dei sistemi di monitoraggio che attivino tempestivamente l’allarme in caso di violazione.
3. Il terzo passo, poi, è conoscere quali dati sono contenuti nei propri sistemi e come vengano difesi.
4. Il quarto passo è, appunto, proteggere con adeguati sistemi di controllo di accesso tali dati.
5. Il quinto step riguarda, invece, la cultura aziendale: occorre insegnare a tutti i dipendenti come riconoscere un attacco hacker in corso e come assumere comportamenti sicuri durante il lavoro quotidiano.
6. Il sesto passo è guardare alla catena di approvvigionamento aziendale e assicurarsi che anche stakeholder e terze parti siano adeguatamente preparati nei confronti del cyber rischio.
7. Non a caso, il settimo passo, consiste nel condividere anche le buone pratiche.
8. Infine, l’ottavo suggerimento prevede di saper discutere adeguatamente del rischio cibernetico al vertice, così come si discuterebbe di qualsiasi altro rischio, economico o di altra natura.
Cosa fare in caso di attacco?
BDO ha recentemente realizzato anche un white paper dedicato al tema della cyber resilienza, in cui si afferma la necessità di una cyber difesa che sia via via più proattiva, e non solo reattiva.
La prima cosa da fare è accorgersi che l’attacco è in corso. Poi, occorre spegnere immediatamente le parti del sistema attaccate, per evitare la propagazione del contagio. A livello reputazionale e comunicativo, inoltre, è necessario che ogni azienda prepari in anticipo una dichiarazione standard ufficiale da poter inviare tempestivamente alla stampa e agli stakeholder. Con l’entrata in vigore del GDPR europeo (General Data Protection Regulation – regolamento UE 2016/679), adottato il 27 aprile 2016 e che gli stati membri devono ratificare entro maggio 2018, diventa inoltre obbligatorio avvisare l’autorità competente di aver accertato una fuga di dati entro e non oltre 72 ore dalla scoperta. Anche la stipula di un prodotto assicurativo specifico può rivelarsi utile, ma solo per quei casi di forte impatto e bassa probabilità di accadimento.
Con gli attacchi informatici basati sulle cosiddette vulnerabilità 0-day in costante aumento e la previsione di un aumento degli attacchi nell’ambito dell’automazione industriale, BDO mette, infine, in guardia sulla possibilità di crescita anche degli attacchi a scopo di spionaggio industriale e furto della proprietà intellettuale.
