La sicurezza informatica? Una questione di business

Siamo tutti in pericolo. Aprendo un’email, cliccando su un link, rispondendo a un sms, il rischio di essere vittime di attacchi informatici è all’ordine del giorno. Per i singoli cittadini, per gli enti pubblici, per le aziende. Incluse le piccole e medie imprese. «Non c’è settore merceologico che non subisca questi incidenti», conferma Alessio Pennasilico, esperto di cybersecurity e membro del comitato scientifico di Clusit, l’Associazione Italiana per la Sicurezza informatica.

Tuttavia, troppi imprenditori e artigiani ritengono ancora che a una contenuta dimensione aziendale si associ una minore probabilità di minacce informatiche, come se la cybersecurity fosse soltanto una prerogativa di società multimilionarie e non coinvolgesse l’intera comunità produttiva.

«Le Pmi lavorano spesso come fornitori di aziende più grandi, con la conseguenza che un incidente in una piccola impresa può bloccarne la produzione, mettendole in seria difficoltà – nota Pennasilico, - È il cosiddetto “rischio di fornitura” o “rischio di terze parti”: un tema molto caro alle grandi aziende, che stanno imponendo vincoli di sicurezza sempre più stringenti ai loro fornitori». Con un’evidente ripercussione sul futuro economico dell’impresa: adeguarsi agli standard permette di restare nel mercato. E garantirsi la sopravvivenza nel breve e lungo periodo.

Ecco perché, secondo l’esperto di Clusit, la cybersecurity è prima di tutto una questione di business, una voce da includere nella pianificazione finanziaria dell’azienda: «Un imprenditore deve comprendere che un incidente informatico può causare una perdita di denaro e pertanto è necessario che metta in atto tutte quelle strategie necessarie per proteggere la propria società. Inoltre, dimostrare di essere più sicuri dei competitor, magari attraverso una certificazione come la ISO 27001, consente di essere scelti come fornitori di altre aziende».

È palese quindi che anche per le Pmi la sicurezza deve essere una priorità, una voce in bilancio al pari di marketing o innovazione tecnologica: difendersi da attacchi come ransomware (richieste di riscatto), Ceo fraud (false e-mail del presunto amministratore delegato che chiedono bonifici urgenti) o phishing (truffe telematiche per rubare informazioni e dati senisibili) richiede una strategia ad hoc, costruita sulle esigenze della singola azienda.

Spiega Alessio Pennasilico: «Capita che le Pmi si rivolgano a uno stesso fornitore tecnologico al quale demandano diverse attività, dal centralino all’antifurto, dai server ai backup con la convinzione che si occupi anche di sicurezza. Tuttavia non è così: si tratta di professionisti della tecnologia che non trattano la cybersecurity come materia di business. Un imprenditore dovrebbe ricercare sul mercato una figura esperta verticalmente di questo tema, con cui progettare una strategia che includa percorsi di formazione del personale, contratti, assicurazioni, strumenti e processi per aggredire il problema in maniera trasversale. Si può fare molto per aiutare le persone a lavorare nel modo corretto». Superando quella ritrosia che a volte avvolge tutto ciò che è tecnologico: «Un esperto saprà indicare un investimento commisurato alle dimensioni dell’azienda, non si tratta per forza di cifre ingenti», segnala Pennasilico, che aggiunge: «Un aiuto può arrivare dalle associazioni di categoria che possono fungere da punti di riferimento e stabilire delle convenzioni con professionisti del settore».