La nuova priorità è la sicurezza informatica, anche per le PMI

La sicurezza informatica, oggi, è un argomento su cui il mondo delle imprese deve riflettere per intervenire sia dal punto di vista delle strutture tecnologiche sia sotto il profilo della stessa cultura aziendale. Nella recente relazione del Garante Privacy si è parlato, diffusamente, della violazione dei dati personali, con numeri che nella prima metà del 2022 hanno ampiamente superato quelli relativi all’intero 2021.

A che punto siamo, a livello di lotta agli attacchi informatici, nel nostro Paese? «Il problema esiste - evidenzia Elena Ferrari, professoressa di informatica all’Università dell’Insubria - fino a pochi anni fa le Pmi non rappresentavano in maniera importante un target di questi attacchi, per i quali si faceva soprattutto riferimento a grandi aziende, a ospedali, banche e infrastrutture critiche. Oggi, in un mondo connesso, anche una piccola impresa può rappresentare il nodo di una rete più ampia, ciò vuol dire che non è più concesso evitare di occuparsi di questa problematica».

Si possono porre in atto strategie, partendo da un processo di consapevolezza: «Non viviamo in un mondo in cui ci si può limitare a puntare a evitare gli attacchi, ma è necessario attivarsi per scoprirli, mitigarli in fretta e quindi passare oltre. Occorre entrare in una forma mentis per la quale gli attacchi ci saranno sempre: bisogna, però, avere strutture il più resilienti possibile. L’Italia sconta un ritardo rispetto ad altri Paesi europei e agli Stati Uniti, ma bisogna riconoscere che molto si è fatto negli ultimi anni».

Le tipologie di attacchi sono diverse: «Sui giornali - prosegue Elena Ferrari - i grandi titoli paiono parlare solo di attacchi difficilissimi da contrastare, ma la realtà di tutti i giorni è che un certo numero di questi arriva sfruttando vulnerabilità facilmente superabili, come la scarsa manutenzione dei sistemi aziendali o la scarsa presenza di linee guida e buone pratiche. Poi ci sono certo gli attacchi più complessi e qui servono alcune strategie, anche la ricerca in tal senso sta facendo i suoi passi».

Vi sono quindi data breach che si verificano perché l’impresa non ha messo in atto accorgimenti anche semplici, «aggiornando software obsoleti o educando il personale. Su questo fronte, pensiamo allo smart working, che è stato salvifico per certi aspetti ma al tempo stesso ha ampliato il perimetro di attacco, in quanto il dipendente magari usa il proprio computer. Esiste altresì una questione legata alle competenze: la cybersecurity non può essere affrontata in un giorno, e poi nulla più. I sistemi vanno continuamente monitorati, e ogni scelta fatta in azienda, come l’uso di un nuovo software per velocizzare alcuni processi, andrebbe valutata non solo a livello economico ma anche sotto il piano della sicurezza e della privacy. Anni fa c’era il problema di avere l’esperto informatico in ogni impresa, oggi viviamo qualcosa di molto simile con l’esigenza di disporre di un esperto di cybersecurity».

Senza dubbio per le Pmi non legate al comparto informatico la potenziale criticità è concreta: «Si può pensare di esternalizzare la soluzione in una certa misura, ovviamente dipende da caso a caso. Le stesse associazioni di categoria possono giocare un ruolo importante. Il Pnrr, poi, rappresenta un’opportunità, e anche le regioni hanno modo di implementare i loro piani di resilienza. Deve essere una priorità. Il problema è quindi tecnologico ma anche di competenze, e tutti devono fare la loro parte. Va implementato un processo di qualità anche rispetto agli aspetti legati alla cybersecurity. In Italia la situazione è ancora a macchia di leopardo, eterogenea, e dipende dalle opportunità e dalla sensibilità del management dell’azienda. Anche questa dinamica - non nasconde in chiusura l’esperta - va modificata».