In tema sicurezza, il World Economic Forum ha da poco rilasciato il suo Global Risks Report 2022, giunto quest’anno alla diciassettesima edizione. Il rapporto prende in esame i principali rischi percepiti a livello internazionale dai vari settori dell’economia globale, sulla base di un ampio sondaggio condotto presso esperti di mercato e decision maker aziendali.
Da qui parte la disanima di Andrea Lambiase, Head of Management Consulting e Data Protection Officer di Axitea, convinto sostenitore che la sicurezza cyber deve restare una priorità per le organizzazioni, salendo di livello fino al board aziendale.
Tra le sei direttrici (ripresa economica divergente e diseguale, transizione climatica, sicurezza digitale, pressioni migratorie, affollamento dello spazio, resilienza pandemica) lungo le quali si concentrano le potenziali problematiche identificate, quelle di natura sanitaria e ambientale hanno generato le maggiori preoccupazioni.
Si tratta di un risultato comprensibile se si considera lo stato di emergenza pandemica in cui ci troviamo ancora oggi, dopo due anni. La sicurezza digitale, per anni in cima alle preoccupazioni dei responsabili aziendali, pare aver fatto un passo indietro. Ma è realmente così? O invece l’esplodere di altre emergenze, percepite come più critiche in questo momento, rischia di far passare in secondo piano un pericolo che resta invece da considerare?
I dati propendono in modo chiaro per la seconda ipotesi. Secondo il Rapporto Clusit 2021, infatti, gli attacchi informatici sono fortemente cresciuti nel corso dello scorso anno, sia a livello quantitativo che qualitativo, per la gravità del loro impatto. In parallelo, sono aumentate le perdite derivanti dalle azioni criminali: da una stima di un trilione di dollari per il 2020 a 6 trilioni per il 2021. Restringendo l’analisi solo all’Italia, la media mensile di attacchi definiti “gravi” è aumentata del 30%, da 124 a 170, tra il 2018 al 2021.
In tema sicurezza aumenta la percezione di nuovi pericoli
Quindi i risultati del Global Risks Report non vanno letti nel senso di una riduzione del rischio legato alla sicurezza digitale, ma al contrario, di un aumento della percezione di altri pericoli, che quindi potrebbe portare a sottovalutare quello che rimane una costante degli ultimi anni, ovvero il rischio informatico. Perché questo non succeda, è necessario uno sforzo importante sia da parte delle istituzioni che dei security provider, che devono mantenere il tema della sicurezza in primo piano.
Se le istituzioni possono farlo con normative dedicate e programmi di incentivazione, per spingere le organizzazioni ad adottare un giusto approccio alla sicurezza e di conseguenza le tecnologie adeguate, un ruolo altrettanto importante sarà quello giocato dai fornitori di soluzioni di sicurezza, che devono saper comunicare in modo corretto, elevando il livello di consapevolezza presso le aziende con cui si interfacciano. In questo senso, la posizione dei security provider risulta ancor più importante, perché si trovano ad operare all’incrocio esatto dei rischi sociali, economici e tecnologici che emergono dal report.
La sicurezza dei dati e delle infrastrutture non impatta più solamente sul singolo processo, nemmeno sulla singola organizzazione. Ma, con l’emergere di una interdipendenza sempre più stretta tra ambienti economici e produttivi una volta ben distinti tra loro, le potenziali ricadute di un attacco cyber portato a una struttura di rilievo – una grande azienda, una utility, un fornitore di servizi pubblici – possono essere incalcolabili, andando a impattare su aspetti non strettamente tecnologici, come la disponibilità di servizi essenziali per gli utenti o i cittadini.
Il ruolo della sicurezza è cambiato, drasticamente. E con esso deve ora cambiare il modo in cui la sicurezza viene comunicata e considerata, dai provider stessi ma anche da tutti coloro abbiano un ruolo di responsabilità nella propria organizzazione. È ormai chiaro che la sicurezza digitale non è più un aspetto tecnologico, ma è un elemento di business, e anche molto rilevante. Un attacco informatico non è fine a sé stesso, ma ha importanti ricadute economiche, perché interrompe i processi aziendali e blocca le comunicazioni con clienti e partner. Nella peggiore delle ipotesi, quella del ransomware, rende inaccessibili i dati aziendali, che rappresentano l’asset principale di ogni organizzazione.
Alle aziende serve una visione di insieme
Le aziende devono affrontare questo scenario in modo appropriato, forti di una visione di insieme che deve tenere presente gli aspetti tecnologici, ma anche e soprattutto quelli organizzativi e procedurali. Un programma efficace di sicurezza aziendale non dipende più solo dalle soluzioni selezionate, ma dal disegno dell’architettura complessiva e soprattutto dal comportamento dei singoli utenti coinvolti nei processi. Questo genera un altro potenziale aspetto di criticità, prettamente organizzativo.
Quanto è possibile controllare i comportamenti delle persone per tutelare la sicurezza senza superare i limiti imposti dalle varie normative su privacy e confidenzialità? La risposta è un equilibrio che può derivare solamente da una visione complessiva dell’intera struttura.
In altre parole, proprio per la sua criticità, la sicurezza deve diventare una preoccupazione del management aziendale, non più solo degli specialisti informatici. Deve essere inserita nei processi aziendali già a livello di pianificazione, in modo da potersi rivelare efficiente ed efficace, oltre che sostenibile.