Gli
attacchi mirati alla cybersicurezza comportano costi altissimi e conseguenze a lungo termine. È evidente la necessità di creare una protezione adeguata, con investimenti proporzionali ai rischi finanziari che le aziende corrono. Inoltre, è bene tenere presenti
le regole base per ridurre al minimo il rischio informatico.
Per capire concretamente di che cosa si parla, prendiamo come esempio emblematico
il caso di Travelex. È un tipico caso di
attacco mirato al settore finanziario, più volte indicato dagli esperti di sicurezza come uno dei più a rischio.
L'azienda ha impiegato diversi giorni per riportare online i propri sistemi, con un blocco delle attività che ha comportato alte perdite. Risulta inoltre che i cyber criminali abbiano chiesto 6 milioni di dollari per restituire 5 GB di informazioni sensibili rubate. Fra i clienti Travelex ci sono alcune delle più grandi società bancarie del mondo (HSBC, Lloyds, Barclays, RBS). Questo significa che l'attacco avrà un impatto significativo a lungo termine sulla reputazione, la fiducia e la lealtà dei clienti.
Se fosse provato che effettivamente i criminali informatici hanno avuto accesso illegalmente ai dati privati dei clienti, a Travelex potrebbe essere comminata una multa. Si ricorda che, nell'ambito dell'UE, un'evenienza del genere sarebbe una grave violazione al
GDPR. Le autorità di vigilanza potrebbero imporre multe fino a 20 milioni di euro.
Calcoli alla mano, il Ponemon Institute ha calcolato che il costo medio di una violazione dei dati nel Regno Unito è stato di 4,88 milioni di dollari. Il dato è in aumento del 10,5% rispetto all'anno precedente. Lo stesso istituto ha calcolato che le aziende inglesi hanno impiegato in media 171 giorni per identificare una violazione e 72 giorni per contenerla. I costi accumulati nel secondo e terzo anno successivo alla violazione sono stati più alti per le aziende che operano nella sanità, nei servizi finanziari e nel settore farmaceutico.
Ecco perché la sicurezza informatica è una priorità assoluta per CEO, CFO, CISO e CIO. Come si possono implementare soluzioni efficaci? Prima di tutto occorre che il CEO e il
consiglio di amministrazione siano
informati e coinvolti. Il rispetto delle normative e dei programmi di governance, insieme a un'efficace supervisione e gestione da parte della leadership, aiuta a considerare la sicurezza un'attività strategica.
Immancabile l'allineamento delle operazioni IT e della sicurezza IT. Contribuisce a garantire la risoluzione dei problemi di sicurezza e il raggiungimento di una solida posizione di cybersecurity, senza influire sulla produttività aziendale.
Il punto da cui partire è decidere
quanti soldi investire e quali sono le principali sfide da fronteggiare. Per farlo occorre una valutazione dettagliata dei rischi in relazione alle attività e alle infrastrutture aziendali. Da qui si può comprendere quali prodotti di sicurezza informatica sono prioritari.
Troppo spesso questa valutazione arriva dopo un attacco. Ad esempio, solo il 3% della spesa IT è attualmente destinato alla sicurezza delle applicazioni Web. Da diversi anni queste ultime rappresentano il rischio più elevato per la sicurezza informatica.
Se la valutazione interna è troppo ostica, meglio
affidarsi a consulenti esterni. Sono informati sulle soluzioni adottate da organizzazioni simili che operano nello stesso mercato. Sarà quindi più completa la loro valutazione dei rischi e la scelta delle soluzioni.
Pochi considerano la stipula di
un'assicurazione per la responsabilità informatica. È un elemento da valutare, perché copre eventuali danni ed evidenzia le carenze della propria struttura, incentivando provvedimenti adeguati.
Altro nodo critico è
dare ascolto ai CISO. Questi ultimi dovrebbero sfruttare ogni opportunità per parlare con i responsabili aziendali e comunicare l'importanza di investimenti in cybersicurezza. Periodicamente è consigliata inoltre un'attività di valutazione, riesame e controllo dei rischi. Serve per valutare l'implementazione di nuove tecnologie, di nuove linee guida e altro.
Non ultimo, è necessario adottare misure per
tutelarsi dalle ingenuità dei dipendenti. Involontariamente sono la principale causa di violazioni dei dati, pertanto è fondamentale attuare programmi di aggiornamento.