Nel suo ultimo rapporto sulla sicurezza informatica, il Clusit informa che ogni mese 190 attacchi informatici sono organizzati in Italia. Le gang di criminali informatici non fanno eccezione e di fatto ogni azienda o ente pubblico è suscettibile di un attacco indipendentemente dalle sue dimensioni e dal suo settore di attività. Ci ricordiamo gli attacchi perpetrati negli ultimi mesi che hanno bloccato la regione Lazio, gli ospedali di Milano e le spedizioni di gruppi logistici europei per citare solo quelli più famosi.
Gli attacchi che coinvolgono società più famose sono descritti sui giornali, ma nella maggior parte dei casi le PMI non condividono informazioni sulle minacce ed attacchi subiti con i propri partner per non rischiare di danneggiare la propria reputazione e perdere di fatto i loro clienti, faticosamente conquistati. Così facendo, le aziende che hanno subito attacchi espongono l’intera filiera economica ad enormi rischi, soprattutto nei casi di integrazione di sistemi informatici oggi necessari per lo sviluppo economico.
Concretamente, una società che subisce un attacco corre i rischi seguenti:
- la perdita di dati con il conseguente blocco dell’attività e significative perdite economiche;
- la vendita di dati sul dark web con gravi conseguenze per la reputazione aziendale e la messa in discussione della sua affidabilità;
- la divulgazione del marchio sotto attacco con conseguenti impatti negativi sulla customer-retention e i potenziali sviluppi commerciali.
Questo fenomeno in costante evoluzione richiede un presidio costante da parte delle organizzazioni allo scopo di proteggere i dati aziendali ed i relativi sistemi informatici con l’implementazione di piani di prevenzione e di gestione della sicurezza.
Cosa fare in caso di attacco informatico?
Nel tessuto imprenditoriale italiano, il CFO è spesso il primo coinvolto in caso di attacchi informatici, in quanto si trova ai comandi del patrimonio aziendale. La società che subisce un attacco deve reagire immediatamente e svolgere le prime azioni come definite:
- prendere contatto con una società specializzata in cybersecurity per il contenimento rapido e la gestione del problema,
- informare il proprio Data Protection Officer (DPO) in quanto vi sono anche obblighi di comunicazione al Garante della Privacy imposti dal GDPR, entro 72 ore dalla conoscenza dell’incidente in caso di rischio per le persone coinvolte.
- denunciare l’accaduto alla Polizia Postale per contrastare questi eventi criminosi e limitare eventuali proprie responsabilità.
In caso di omessa notifica al Garante, la società può essere soggetta a sanzioni amministrative molto pesanti fino a 10 milioni di euro o il 2% del fatturato.
Come proteggersi da un attacco informatico?
La migliore protezione è la gestione della sicurezza informatica come un processo di miglioramento continuo che prevede l’aggiornamento metodico del sistema operativo e dei software utilizzati, l’adozione di antivirus di nuova generazione con estensioni anti-malware, l’utilizzo di firewall, di tecniche di crittografia e la realizzazione di backup dei dati. Con un backup valido, in caso di necessità, l’azienda potrà ripristinare i dati diventati inaccessibili, quantomeno fino all’ultimo salvataggio.
In aggiunta, la scelta di un DPO preparato che abbia un programma di controllo specifico nell’ambito della sicurezza a tutela dei dati personali, come specificato dal GDPR, e abbia un programma di verifica periodico con il dipartimento IT sul monitoraggio e l’evoluzione della sicurezza informatica è fondamentale per sviluppare una maggiore consapevolezza e gestione dei rischi attraverso l’identificazione delle minacce e la possibilità di fermare un attacco informatico prima che sia troppo tardi.
Infine, la sensibilizzazione e la formazione dei dipendenti attraverso distinti percorsi formativi calibrati sui ruoli e le responsabilità quali amministratori di sistema, addetti alla funzione IT e l’intero personale aziendale hanno un’importanza cruciale. Come lo ricorda il Clusit e dall’esperienza quotidiana, il fattore umano è il presidio principale dell’azienda e molto spesso gli attacchi hanno successo grazie ad un tasso di negligenza che si sarebbe dovuto e potuto evitare senza eccessiva difficoltà con persone avvertite. Nessuna tecnologia può considerarsi auto-sufficiente. Tutti i dipendenti devono essere consapevoli dei pericoli e delle conseguenze delle proprie azioni sul web che possono compromettere l’intera rete aziendale.
In conclusione, l’azienda ha la necessità di implementare una gestione accurata della sicurezza informatica e della prevenzione dei rischi. Il percorso, per essere vincente, va calibrato con il supporto di un “fractional DPO” altamente specializzato che garantisce un controllo sull’adeguatezza delle misure di sicurezza in essere e vigila sul rispetto alla normativa e sul GDPR.
Il modello fractional vuole rappresentare una soluzione strategica per le imprese, anche per le attività di compliance. “Il fractional manager” è di fatto una figura esterna, ma con un approccio operativo, che entra all’interno dell’azienda con un rapporto flessibile, forte di una grande esperienza e con una visione più ampia. Come lo ricorda Andrea Pietrini chairman di YOURgroup.