Cyber risk, una questione di cultura

Non basta la tecnologia per garantire la sicurezza informatica delle aziende: come illustrato da Daniela Marucci e Chiara Gatti di UnipolSai, servono una maggiore consapevolezza del rischio e un approccio sistemico alle minacce che provengono dall’ecosistema digitale

La gestione del rischio informatico non si limita a software e tecnologia. Alla base c’è (o dovrebbe esserci) un approccio olistico al controllo delle minacce che provengono dall’ambiente digitale: impegno, costanza, vocazione all’analisi del rischio e proattività nella gestione e nell’aggiornamento di tutti i presidi di sicurezza. In pratica, secondo Daniela Marucci, responsabile della linea corporate di UnipolSai, proprio quello che manca a quel tessuto di piccole e medie imprese che costituiscono il cuore del nostro sistema produttivo. “Circa il 60% delle aziende analizzate presenta vulnerabilità che non consentono di procedere alla sottoscrizione di soluzioni assicurative per il trasferimento del rischio informatico: non è solo un tema di investimenti adeguati in tecnologia – afferma – ma presuppone un cambio culturale nell’approccio al rischio”.
Sono tante, come illustrato da Chiara Gatti, responsabile della sottoscrizione cyber di UnipolSai, le criticità delle imprese: la scarsa attenzione prestata ai sistemi di sicurezza propri e di partner e fornitori, la mancanza di adeguate misure di back-up e patch management, la pressoché totale assenza di strategie di business continuity e disaster recovery. Di fondo, si trascura che il rischio informatico può essere mitigato solo agendo contemporaneamente su tecnologia, persone e processi. “Le aziende non sono abituate a effettuare procedure di risk assessment nell’ambito del rischio informatico: proprio per questo motivo abbiamo studiato un’offerta assicurativa che prevede strumenti per la valutazione della postura di sicurezza. Gli esiti delle analisi – spiega Gatti – danno evidenza alle aziende delle eventuali azioni da intraprendere per il miglioramento dei presidi di sicurezza”.

Arriva la Nis 2, ma non basta

Dove non arriva la cultura arriva spesso la legge. Nel 2016 l’Unione Europea ha varato la Nis, una direttiva che impone alle imprese di pubblica utilità di dotarsi di adeguate misure per la gestione del rischio informatico. La disciplina ha finora riguardato settori come le utilities e le banche. E presto, con il recepimento della successiva direttiva Nis 2, arriverà a toccare anche altri comparti industriali, come il settore agroalimentare o la Gdo.
Basterà questo a favorire la cultura del rischio informatico? “La misura potrà sicuramente essere utile, ma non basterà certo a garantire quel cambiamento culturale che tutti stiamo aspettando”, risponde Marucci. La manager propone l’esempio dell’errore umano, ancora oggi una delle cause principali di attacchi informatici alle imprese. “È un tema di gestione aziendale che non può essere risolto solo con un intervento normativo: servono – spiega – procedure dedicate e sessioni di formazione e aggiornamento continuo del personale sull’evoluzione delle minacce informatiche e sui comportamenti da adottare nel contesto digitale”. Anche l’esperienza e il ruolo delle grandi imprese, secondo Gatti, possono giocare un ruolo fondamentale. “In un’economia che si muove verso una logica di ecosistema – spiega – le aziende di maggiori dimensioni sono nelle condizioni di chiedere ai propri fornitori l’adozione di adeguati requisiti di sicurezza, favorendo così la resilienza generale del sistema e incentivando la diffusione di una nuova cultura del rischio”.

Un centro di competenza sul cyber risk

La logica degli ecosistemi torna spesso nelle parole di Gatti. In fondo, dice, “un ambiente più sicuro crea vantaggi per tutti, anche per i singoli cittadini”. Ed è proprio in quest’ottica che va letto l’impegno di UnipolSai per la creazione di un sistema di competenze dedicato alla sicurezza informatica. “Oltre a rendere disponibili servizi di pronta ripresa in caso di incidente informatico, stiamo avviando collaborazioni con i centri di competenza, costituiti nell’ambito del piano nazionale Industria 4.0, come forme di partenariato fra pubblico e privato: i centri di competenza, anche grazie alle risorse del Pnrr, si propongono di fornire strumenti di orientamento e formazione, ma anche finanziamenti, su temi di interesse generale per il nostro sistema produttivo come, appunto, la sicurezza informatica”, illustra Marucci. “Il nostro obiettivo, con questa iniziativa, è garantire la sicurezza di una dimensione, quella del dominio digitale, in cui tutti noi possiamo essere soggetti a una qualche forma di attacco e in cui, pertanto, il miglioramento del livello di protezione di una singola realtà può avere riflessi positivi sull’intera comunità: adottare le adeguate misure di sicurezza, trovare le soluzioni migliori e finanziare la ricerca e lo sviluppo di nuovi dispositivi di protezione informatica – conclude – può contribuire a quel salto culturale di cui tutti noi abbiamo estremo bisogno”.