/media/post/rd57gdf/VeronicaLeonardi.jpg
Ferpi > News > Non c’è alternativa alla cybersecurity. E la comunicazione è la chiave di tutto

Non c’è alternativa alla cybersecurity. E la comunicazione è la chiave di tutto

18/01/2021

Lo smart working ha esacerbato i rischi informatici per le aziende che sempre più spesso si trovano a gestire attacchi alla privacy e alla sicurezza. Abbiamo chiesto al socio Carmelo Stancapiano, uno dei decani della comunicazione ICT e digitale, di intervistare Veronica Leonardi, Chief Marketing Officer di Cyberoo, fra le più importanti aziende del settore in Italia, quotata alla Borsa di Milano, che tra i suoi azionisti ha anche il Fondo Sovrano Norvegese, tra i fondi pensionistici più importanti al mondo.

Tra i vari problemi che si sono fortemente aggravati con l'avvento del coronavirus ve ne è uno che solo in questo periodo sta avendo presso l'opinione pubblica la consapevolezza che merita: i pericoli e le minacce del mondo virtuale (la rete) con un riverbero sul mondo reale. Con il lockdown il progressivo aumento dell'utilizzo del lavoro e della didattica a distanza, dei social network e delle videoconferenze con computer, tablet e smartphone - spesso senza una adeguata protezione software - ha favorito l'incremento degli attacchi informatici alla privacy e alla sicurezza delle informazioni delle aziende. Con la particolarità che in molti casi sono intangibili e non vengono individuati subito con tutte le conseguenze che questo comporta. Secondo gli esperti nessuno è escluso (singolo individuo, lavoratori autonomi, professionisti, aziende e istituzioni) dai potenziali rischi che vanno dalle conosciute tecniche di phishing, agli accessi per impossessarsi di informazioni sensibili se non addirittura della identità delle persone, per non parlare di importanti aziende completamente bloccate in tutte le loro attività digitali a volte costrette a pagare onerosi riscatti per poter continuare ad operare.

Come si comunica la cybersecurity?

Potrei dire con fatica ma, tenuto conto dei risultati che stiamo ottenendo in termini di crescita, anche in Borsa, è certamente più corretto dire con pazienza, insistenza e soprattutto con semplicità e concretezza. Esempi concreti e soluzioni, oltre che il racconto delle diverse problematiche reputazionali e/o di business, sono fondamentali e vincenti.
Se la comunicazione riesce a essere inclusiva, propositiva e chiara, allora l’importanza del messaggio viene recepita ed elaborata di buon grado e il cambiamento, l’accettazione del problema e l’adoperarsi per gestirlo, può avvenire seguendo le necessarie best practices. In caso contrario si corre il rischio di sentirsi dire “so che il problema esiste, ma finché non mi riguarda in prima persona non me ne curo”.
La comunicazione deve anche essere trasversale, deve rivolgersi tanto al singolo quanto all’organizzazione nei suoi diversi livelli.

Come si fa a scongiurare una comunicazione astratta?

Quando si parla di cybercrime è inevitabile un certo livello di astrazione, perché non vediamo quello che succede ma possiamo solo immaginarlo. Proprio per questo però è richiesta una comunicazione che riesca a rendere visibile questa intangibilità, portando alle persone degli esempi concreti.
A proposito di concretezza, il World Economic Forum ha elencato la cybersecurity come una delle maggiori minacce per le aziende di tutto il mondo nel suo Global Risks Report 2020, classificandola tra i primi rischi in termini di probabilità ed impatto sulla crescita mondiale da qui ai prossimi anni. Questo cosa vuol dire? Che le aziende, piccole o grandi che siano, si devono attrezzare velocemente oggi per evitare problemi seri domani. Teniamo conto che la cybersecurity non è solo un prodotto o servizio ma un processo complesso che coinvolge persone, procedure, policy, rischio residuo collegato al mondo delle assicurazioni, oltre che attività tecnologiche e di servizi.

È facile comprendere dunque che quando il tema è così esteso e di impatto, la maggior parte delle aziende non potrà girarsi dall’altra parte. Qual è il ruolo dei Governi?

Alcune aziende non si girano dall’altra parte e riescono a mutare immediatamente il proprio atteggiamento. Parliamo di coloro che l’economia definisce “innovatori”, che comprendono fin dal principio la situazione e hanno una predisposizione intrinseca al cambiamento e un nuovo modo di approcciare la digitalizzazione. Per gli altri, il cambiamento arriva solo con il tempo e con le normative. I Governi da questo punto di vista giocano un ruolo fondamentale. Non dimentichiamoci anche di quanto possono essere utili, se non indispensabili, incentivi e supporti agli investimenti.

Può aiutare comunicare il ROI della cybersecurity?

Comunicare la cybersecurity vuol dire anche comunicare il valore aziendale di un programma di sicurezza informatica, nonché tradurre le soluzioni di cybersecurity in fattori abilitanti per il Business.
Spesso però comunicare il ROI della cybersecurity al team di leadership di un’azienda non è un compito semplice, in quanto accade che i leader della cybersecurity devono dare valore a eventi che non sono nemmeno accaduti all’interno della propria realtà (o così credono), come per esempio violazioni di dati, interruzioni dei servizi, ecc. fino ad arrivare alla perdita dei propri clienti.
Il problema quindi è quello di parlare una lingua diversa: le metriche di sicurezza informatica sono spesso comunicate in un linguaggio tecnico complesso che è difficile da comprendere per un CEO o altre figure aziendali.  
In primis quindi è fondamentale tradurre il rischio informatico in rischio aziendale, successivamente è importante far comprendere che gli investimenti in sicurezza sono essenziali per proteggere le organizzazioni dall’elenco crescente di minacce che potrebbero avere un impatto sul futuro dell’azienda.

Ad esempio?

Un modo per comunicare il valore di una strategia di sicurezza informatica è guidare la leadership attraverso le conseguenze di una violazione dell’infrastruttura IT - perdita di clienti, dati, entrate, proprietà intellettuale e altro - poiché queste conseguenze evidentemente influenzano direttamente i profitti di un'azienda oltre che la sua reputazione.
Un’azienda con solide pratiche di sicurezza e trasparenza su come la propria organizzazione protegge i dati può rafforzare la credibilità e la fiducia tra clienti esistenti e potenziali clienti.

La cybersecurity è una spesa o un investimento?

Senz’altro un investimento, senza il quale nel momento in cui avviene un attacco, non c’è solo il danno immediato derivante ad esempio dalla sottrazione fraudolenta di denaro per mezzo di un ransomware ma sussiste anche un problema di furto di informazioni e know-how aziendale, oltre che salate sanzioni lato GDPR. La bomba che innesca un problema di cybersecurity determina strascichi a lungo termine che rischiano di inficiare le aziende.
È un investimento e un’assicurazione, per proteggere sé stessi e i propri dati, oltre che tutelare la propria privacy, quella dei propri dipendenti e dei clienti.
Avere un programma completo di cybersecurity, specialmente in questa fase di emergenza nazionale in cui i lavoratori in smart working sono più soggetti ad attacchi e minacce informatiche, è fondamentale per l’azienda. Solo così i manager della sicurezza informatica (CIO e CISO) possono comunicare meglio il ROI, sottolineando perché questi programmi sono un must per le loro organizzazioni, dimostrando il valore aziendale e soprattutto costruendo una forte cultura della sicurezza.

Poiché gli attacchi informatici sono intangibili, spesso si scoprono dopo molto tempo. Come fare per sensibilizzare sul problema?

Bisogna creare una cultura positiva della sicurezza! Utilizzando il rinforzo positivo o contenuti interattivi come video, webinar e podcast i CISO possono coinvolgere i colleghi e ottenere più consenso anche dai vertici aziendali. Queste strategie aiutano tutti, indipendentemente dal reparto o dal livello di anzianità, a comprendere i rischi e le responsabilità in materia di sicurezza e il modo in cui ogni dipendente svolge un ruolo cruciale.
Il rischio di un attacco hacker fa parte della vita digitale di ognuno di noi e di ogni attività aziendale. Ma per ogni impresa è sempre più difficile proteggersi senza un’adeguata pianificazione della sicurezza.
Un’azienda potrebbe avere la migliore sicurezza fisica, ma molto spesso ha le sue porte spalancate su Internet! Infatti, gli affari così come le informazioni personali sono sempre più affidate a dispositivi e reti interconnesse e spesso non vengono rese sicure per colpa di una percezione falsata del rischio.

Come ci si difende dagli attacchi?

Per potersi difendere con successo dagli attacchi bisogna pensare esattamente come un criminal hacker e quindi fare leva sulle strategie che potrebbe usare. Ciò significa mettere in atto operazioni altamente tattiche, personalizzate e specifiche per la propria organizzazione, tenendo in considerazione la struttura della propria azienda insieme alle possibili minacce nel proprio particolare settore.
Le prove sono una componente chiave ma la cosa più importante è quantificare le minacce specifiche e il rischio complessivo per un'organizzazione.
Ci sono strumenti di simulazione efficaci per dimostrare la probabilità di un attacco riuscito. Allo stesso modo, assumere un penetration tester o fare un vulnerability assessment può mettere in luce specifiche vulnerabilità della rete altrimenti non visibili. 
È chiaro che bisogna fare degli investimenti. Bisogna approcciare tecnologie evolute che siano in grado di avere una visibilità olistica dell’intero sistema perimetrale.
Come passaggio proattivo, è opportuno prendere in considerazione il supporto di un SOC, persone altamente specializzate in questo settore che riescono ad accompagnarti in questo processo. Un SOC infatti può valutare appieno la capacità delle organizzazioni per la gestione del rischio in un panorama delle minacce in continua evoluzione.
Queste strategie, associate a un programma completo di gestione dei rischi per la sicurezza informatica, possono aiutare a guidare efficacemente le aziende nella mitigazione dei rischi per la sicurezza e nella salvaguardia delle risorse aziendali sensibili.
Altro fattore negativo è la difficoltà di conoscere lo stato dell'arte visto che le aziende, le banche, le assicurazioni, etc. tendono a non far conoscere gli attacchi subiti. Come cambiare questa cultura?
Affidandosi a un partner. Le aziende devono iniziare a mettersi all’opera, studiando e comprendendo le dinamiche e affidandosi a degli esperti del settore che possano accompagnarle in questo processo di cambiamento.
Proprio perché la cybersecurity è una tematica molto specifica con delle sue peculiarità, è doveroso avvalersi di persone/consulenti/partner che abbiano competenza specifica.

Il fattore umano. Secondo la stampa estera nel 2021 servono circa 200.000 esperti sulla sicurezza. Dove trovarli?

Il cybersecurity specialist è una figura professionale che nasce e cresce nel mondo della cybersecurity. Fare sicurezza informatica e lavorare in ambito IT sono due cose differenti. Innanzitutto hanno obiettivi diversi, seppur ci siano delle sovrapposizioni: la cybersecurity mira alla protezione e alla difesa dell’infrastruttura IT aziendale dagli attacchi del cyber crime e/o delle attività potenzialmente malevole di dipendenti infedeli. L’IT invece lavora con l’obiettivo di garantire una infrastruttura correttamente strutturata in termini di efficacia ed efficienza in modo che un’azienda o un ente possa correttamente lavorare.
Ciò detto e nonostante negli ultimi anni la cybersecurity stia assumendo sempre più rilevanza, purtroppo non esistono in Italia e in generale anche in Europa, dei veri e propri corsi di studio in grado di formare cybersecurity specialist. Stanno nascendo in questo momento e comunque in ritardo rispetto alla crescente richiesta di professionisti.

Gli specialisti sono quindi merce rara. Quanto tempo ci vuole per formarne uno?

Merce rara, esatto. Per questo è opportuno fare un ulteriore step di riflessione. Sappiamo bene che l’obiettivo dei cybersecurity specialist è proteggere e difendere le aziende dagli attacchi del cyber crime, ma quest’ultimo non ha regole di ingaggio e non segue le business hour. È qui che sorge un ulteriore problema: i cybersecurity specialist servono in un numero esponenzialmente maggiore di quello che basterebbe se si lavorasse solo durante l’orario d’ufficio. La condizione sine qua non per fare correttamente cybersecurity è essere always on 24/24.
Per cui, proprio perché ci sono poche professionalità nel settore e sono necessarie competenze specifiche, per le aziende, in particolare piccole-medie ed enterprise, è irragionevole acquisire o formare un team di cybersecurity interno. Non solo oggi che le risorse non ci sono ma anche nel lungo termine per questioni di investimenti, di tempo necessario per formare queste risorse e soprattutto nell’ottica di una continua evoluzione della cybersecurity.

È per questo che imprese come la vostra sono indispensabili?

Come Cyberoo diciamo sempre “così come nella vita reale non possiedo internamente un ufficio di vigilanza, ma mi avvalgo di professionisti esterni, per la cybersecurity vale lo stesso concetto”. Inoltre, potendo lavorare da remoto, non esiste nemmeno più il problema del confine nazionale.

Il ruolo dell'offerta e delle istituzioni nell'informare l'opinione pubblica?

Abbiamo più volte ribadito che la cybersecurity è un processo che prevede un cambiamento su larga scala e una campagna di comunicazione istituzionale, oltre ai già richiamati interventi normativi e finanziari, sarebbe straordinariamente utile. Ad ogni modo, le aziende che si occupano di cybersecurity hanno l’onore e l’onere di educare e fare corretta divulgazione, è l’unica strada per il cambiamento.

In conclusione, come mai permane questa difficoltà nel sensibilizzare le PMI a prendere misure adeguate?

La questione riguarda il Pubblico e il privato. Purtroppo, quando pensiamo alle violazioni dei dati, la nostra mente tende ad andare alla deriva sugli incidenti spettacolari che fanno notizia a livello nazionale o internazionale. Eppure, sebbene raramente compaiano sulla stampa, le piccole e medie imprese corrono un rischio ancora maggiore di subire gravi violazioni con ripercussioni finanziarie e reputazionali paralizzanti.
C’è un erroneo mito, ovvero che le PMI non siano di interesse ma non è vero, anzi derubare una PMI è molto più semplice e decisamente meno costoso rispetto a una large enterprise che spesso e volentieri è molto ben difesa.
Le PMI erroneamente pensano di non essere il bersaglio, invece lo sono eccome; dal punto di vista del costo e beneficio sono più facili da violare perché non hanno le corrette strutture, processi e sistemi di difesa.
Esiste un problema di cultura all’interno delle PMI e ci sono dei miti che devono essere sfatati. Le istituzioni avrebbero potuto e potrebbero fare di più, tenuto conto di cosa accadrebbe al PIL del nostro Paese se il tessuto economico costituito da PMI venisse attaccato.
Il cambiamento ha bisogno di tempo e di normative, procedure e persone specializzate che si impegnino a svolgere queste attività. Io sono molto ottimista, non c’è alternativa alla cybersecurity. Più se ne parla e meglio è, perché la comunicazione è la chiave di tutto.

Eventi