Fresco di pubblicazione, questo report (in inglese, fonte Aon plc.) esplora ed illustra i rischi più importanti che le imprese sono tenute ad affrontare in ambito cyber security. Il mantra sembra essere: “il rischio informatico va affrontato in modo proattivo, valutando continuamente le variazioni del proprio profilo di rischio”, per trovarsi pronti quando arriverà l’attacco; attacco diventato ormai questione di “quando” più che di “se”. Ne parlavamo qui sul blog, contestualmente all’introduzione della fattura elettronica in Italia.

La frequenza e la capacità delle minacce informatiche di penetrare nei sistemi attraverso attacchi sempre più sofisticati sta incrementando notevolmente i rischi connessi a fermi attività e/o a perdita di dati sensibili, in virtù del nuovo Regolamento Europeo GDPR. Ricordiamo che, in ambito di sicurezza delle informazioni – e mi riferisco in particolare alla ISO 27001 e al già citato GDPR – la priorità è posta sulla riservatezza del dato, prima della sua integrità e infine disponibilità.

Ecco gli 8 rischi individuati nell’analisi:

RISCHIO TECNOLOGICO

Abbracciare la trasformazione digitale crea nuovi ed inaspettati rischi. Il mondo fisico, cosi come lo abbiamo sempre inteso sta lasciando il comando al mondo dei dati. Dall’automotive, all’informazione passando per l’industria 4.0, tutto si sta connettendo e trasformando in un enorme network di dati, ove il cuore pulsante del business (il valore aggiunto) è il servizio al cliente offerto tramite nuove strutture digitali e connesse. Ecco che il punto di vista cambia, e la superficie di attacco si espande enormemente!

RISCHI DELLA CATENA DI FORNITURA

Nei consigli di amministrazione l’attenzione rivolta alla catena di fornitura spesso si concentra solo sul creare più valore possibile, ma in un mondo globalizzato ciò appare decisamente pericoloso. Nelle supply chain globali, da un lato la sempre più crescente esposizione dei dati agli attacchi e dall’altro la dipendenza stretta da fornitori o provider terzi dai quali possono provenire insidie o possono, a loro volta, provocare interruzione del business. Se aggiungiamo la crescita dei dati “in cloud”, condivisi nelle catene di fornitura attraverso piattaforme estese, ci rendiamo conto della portata dei rischi connessi. La regolamentazione, tramite specifiche policy di risk management richieste settorialmente (Energia, bancario ecc) deve aiutare a raggiungere livelli di sicurezza omogenei ed integrati tra gli interlocutori.

 

INTERNET OF THINGS

Ogni dispositivo è un rischio potenziale non trattato. L’internet delle cose è già tra noi da almeno un quinquennio, i dispositivi si connettono per il nostro benessere, per la nostra salute e per il nostro lavoro, trattando e condividendo una mole spaventosa di dati. La maggioranza delle imprese non ha un inventario dei propri device, e sottovaluta i rischi associati ad un mancato controllo – come l’intrusione nei sistemi aziendali dato che spesso i dispositivi aziendali sono connessi con piattaforme cloud, con provider di posta, con server ecc…

RISCHI OPERATIVI

Infezioni da malware, ovvero software malevoli introdotti fraudolentemente o accidentalmente nella rete aziendale, o ramsonware – ovvero estorsioni perpetrate attraverso la criptazione dei dati rendendoli indisponibili all’utilizzatore possono sostanzialmente fermare un’unità produttiva. L’Operation tecnology – ovvero le infrastrutture in grado di offrire la continuità del business – prima basato su network chiusi e privati, oggi si sta connettendo al web e si sta integrando con i tradizionali ambienti IT. In questo specifico settore passa in primo piano la disponibilità del dato, prima della sua riservatezza. Infine, spesso macchinari industriali vetusti si accoppiano a quelli di ultima generazione, rendendo difficoltosa l’individuazione di una strategia di gestione del rischio informatico efficace.

RISCHI DEL FATTORE UMANO

Un sondaggio sulla cyber security del 2018 ha svelato come il 53% delle organizzazioni ha avuto almeno un attacco informatico dovuto a fattore umano interno. Mano a mano che la tecnologia evolve, spesso agli operatori vengono concessi privilegi di accesso alla rete non coerenti con il ruolo con evidenti problemi di sicurezza; inoltre nelle grandi organizzazioni spesso non esiste una policy IT comune che possa coordinare le scelte e le politiche di rischio. Il fattore umano genera quasi il 60% di tutte le problematiche cyber riscontrate a livello globale. La formazione e la cultura aziendale, gioca in questo un fattore fondamentale.

FUSIONI ED ACQUISIZIONI

La diffusione di dati, che può seguire un attacco informatico, inerenti documenti e numeri su una fusione o un’acquisizione aziendale può drammaticamente compromettere l’operazione rivelando informazioni riservate ed esponendo le aziende coinvolte alla perdita dei vantaggi ipotizzati dall’operazione o, peggio, a cause legali rilevanti in termini economici.

RISCHI LEGALI E NORMATIVI

Negli ultimi anni le normative sul rischio informatico si sono moltiplicate in modo virale. Dagli Sati Uniti, ove ogni stato sta regolamentando la materia in modo decisamente non coordinato – finendo per aumentare il rischio di mancata compliance invece di contribuire a ridurlo. In Europa il GDPR ha dato chiare indicazioni – limitatamente ai diritti delle persone fisiche – e sanzioni pesanti per i trasgressori, che possono arrivare a 20 milioni di € e/o al 4% del fatturato annuo.

 RISCHI DEGLI AMMINISTRATORI

Cresce la responsabilità di amministratori e sindaci delle Società in merito ai danni cagionati all’azienda per non aver vigilato e/o adottato le corrette misure di gestione del rischio informatico.

Se hai un’azienda e stai valutando i rischi legati all’ambito informatico, il consiglio è di non fermarti all’aspetto di prevenzione/protezione (se vogliono entrare, trovano il modo) ma di considerare il processo come un puzzle composto da vari passaggi, al termine quello assicurativo, che porta alla vera gestione del tuo rischio.

LASCIA UN COMMENTO

Please enter your comment!
Please enter your name here