Perché la Cybersecurity e la Data Protection sono un fattore strategico per le aziende

Oggi la Cybersecurity è diventata un elemento strategico per la difesa dei dati delle aziende. È quindi di fondamentale importanza avere la consapevolezza e la conoscenza delle minacce e dei rischi informatici, per essere in grado di proteggere il bene immateriale più importante per ogni azienda: i propri dati. E se un’organizzazione, qualunque essa sia, piccola o grande, perde i propri dati, rischia di non esistere più. 

Abbiamo approfondito il tema con Giorgio Sbaraglia, membro del Comitato Direttivo Clusit e Coordinatore Scientifico del modulo "Cybersecurity e Data Protection" dell'Executive MBA e dei Master dell'area Gestione d'Impresa dedicati al tema della Cybersecurity di 24ORE Business School.

Il Cybercrime si è evoluto: non c’è più l’hacker "con la felpa e il cappuccio"

Nell’immaginario collettivo, e in tutti i film di genere, l’hacker è visto come un giovane, con la felpa scura e il cappuccio, chino sulla tastiera: il classico “nerd”. Dimentichiamoci questa figura, perché non esiste più.

Gli hacker “lupi solitari” che abbiamo conosciuto agli albori dell’informatica di massa, gli “smanettoni” che hackeravano per divertimento o per ribellione, che ci inviavano virus più naïf che dannosi, oggi sono stati sostituiti da strutture organizzate come un’azienda, con ruoli e funzioni ben determinate. E con il preciso obiettivo di fare soldi e rubare dati, ma quei soldi e quei dati sono quelli delle nostre aziende. Si pensi che uno dei gruppi criminali più noti, il gruppo Conti di matrice russa, nel 2021 ha incassato attraverso attacchi di tipo ransomware (oggi la minaccia più grave e diffusa) la ragguardevole cifra di circa 180 milioni di dollari. Questo dato è emerso da una fuga di notizie interna al gruppo Conti, nella quale è stato addirittura pubblicato anche l’organigramma del gruppo, molto simile a quello di una nostra azienda. 

Si stima che nel 2021 il giro d’affari delle attività cybercriminali a livello mondiale abbia raggiunto il valore di 6.000 miliardi di dollari (in pratica, il triplo del PIL dell’Italia).

Si è creato un nuovo modello di business che ha l’obiettivo di realizzare grandi guadagni e lo fa sfruttando (in modo sempre più sofisticato e professionale) le debolezze informatiche e culturali delle aziende e delle persone. Perché se gli attaccanti sono sempre più efficienti web organizzati, dall’altra parte chi si deve difendere (le imprese) non si è evoluto con lo stesso passo ed è ancora - troppo spesso - legato a concetti superati sulla sicurezza informatica. Riscontriamo, soprattutto nelle aziende PMI alcune convinzioni sbagliate e molto pericolose: “Perché dovrebbero attaccare proprio la mia azienda? Non abbiamo dati importanti”. Il problema non è sapere “se verremo attaccati” ma solo “quando saremo attaccati”. Non importa se siamo grandi o piccoli: prima o poi ci attaccheranno. Perché i cyber attacchi possono essere molto mirati, ma potrebbero viceversa essere anche “opportunistici”, cioè colpire a caso con la tecnica della “pesca a strascico”. Quindi nessuna impresa può sentirsi al sicuro, crederlo può essere un errore fatale

I dati del Rapporto Clusit 

Clusit è l’Associazione Italiana per la Sicurezza Informatica, fondata a Milano il 4 luglio 2000, e che oggi rappresenta in Italia il principale riferimento sulla Cybersecurity per aziende e professionisti. Anche per questo motivo, l’Executive Master Cybersecurity e la Data Protection di 24ORE Business School si avvale, sin dalla sua prima edizione, della partnership con Clusit, da cui provengono molti dei docenti del Master stesso.

Clusit pubblica ogni anno il Rapporto Clusit sulla Sicurezza ICT in Italia. Il Rapporto Clusit 2023 è stato presentato il 14 marzo 2023 ed ha evidenziato dati sempre più preoccupanti per i cyber attacchi, in particolare per l’Italia che risulta essere uno dei Paesi più colpiti al mondo. 

L’Italia è molto sovraesposta in termini di attacchi, rispetto alla sua dimensione nazionale: in pratica nel 2022 il dato italiano sui cyber attacchi rappresenta il 7,6% del totale del campione complessivo considerato a livello mondiale, a fronte di un PIL italiano che rappresenta appena il 2,2% del PIL mondiale (che è pari a 102 trilioni di dollari). Ed inoltre registra una crescita del +168,6% rispetto all’anno 2021. Vediamo inoltre che il numero di attacchi gravi rilevati da Clusit in Italia è molto aumentata negli ultimi anni: siamo passati da 30 attacchi nel 2018 a 188 nel 2022, con una crescita pari a +527% nel 2022 rispetto al 2018. Tenuto conto che il Clusit rileva solo gli attacchi di pubblico dominio, è ragionevole ritenere che quelli che hanno effettivamente colpito le aziende italiane siano molti di più. Ed è noto che molti di questi attacchi bloccano l’operatività delle aziende: tipicamente questo accade con i ransomware che criptano i dati (in pratica li sequestrano) e poi chiedono un riscatto per restituirli o – e può essere anche più grave – ne minacciano la pubblicazione, con tutte le implicazioni anche in termini di privacy e GDPR. 

Siamo quindi un Paese particolarmente esposto (qui per approfondire ) e di conseguenza c'è un grande bisogno di competenze e professionalità nell'ambito della Cybersecurity per contrastare minacce sempre più gravi. Tuttavia, mentre di queste competenze e professionalità si registra una forte carenza, le capacità dei cybercriminali crescono ad un ritmo molto veloce.

Perché scegliere l'Executive Master Cybersecurity e Data Protection di 24ORE Business School

La finalità dell'Executive Master Cybersecurity e Data Protection è quella di fornire una competenza strategica sulla Cybersecurity per costruire figure professionali quali Cybersecurity Manager e CISO (Chief Information Security Officer), ruoli sempre più importanti e richiesti nelle aziende. 

Non sono più sufficienti tecnici informatici con specializzazioni molto specifiche, serve anche – e soprattutto – chi sappia comprendere i rischi che minacciano la Business Continuity e sia in grado di progettare un piano di misure di sicurezza coerente e completo. 

I mezzi per difenderci esistono: quello che manca è la comprensione dei rischi e la conoscenza degli strumenti più idonei da adottare per proteggerci. Per poterlo fare è necessario saper eseguire una valutazione tecnica nella scelta ed implementazione delle misure di sicurezza ritenute necessarie sulla base di un’analisi dei rischi, ai fini di mitigare i rischi individuati, sulla base di un'analisi economica di costi/benefici.

Investire in Cybersecurity oggi è strategico per qualsiasi azienda e non farlo potrebbe metterne a rischio la stessa continuità aziendale; per questo motivo nell’Executive Master si tratterà anche di Business Continuity e Disaster Recovery.

Non basta avere la consapevolezza delle minacce, è fondamentale comprendere e valutare gli investimenti nella sicurezza informatica aziendale, investimenti troppo spesso trascurati perché ritenuti - erroneamente - “improduttivi”: per questo le figure professionali che questo Executive Master intende costruire devono anche avere la capacità di comunicare efficacemente ai vertici delle imprese, ai decisori, queste esigenze. 

Non serve solo fare investimenti, bisogna sapere quali sono gli investimenti maggiormente efficaci ed economicamente sostenibili. 

Quali sono le competenze necessarie per un Cybersecurity Manager e per un CISO (Chief Information Security Officer) 

La Cybersecurity prima di essere un problema tecnico è un problema culturale, che coinvolge  in modo trasversale ogni area aziendale. Cybersecurity Manager e CISO (Chief Information Security Officer) sono proprio le figure più idonee a gestire questi aspetti così interdisciplinari, in quanto esse dovrebbero essere dotati delle seguenti competenze: 

• conoscenza delle minacce informatiche e della loro continua evoluzione; 

• risk management, per la valutazione dei rischi;

• conoscenza tecnica dei sistemi e dei prodotti (hardware e software) utili per migliorare la sicurezza informatica aziendale; 

• capacità di coordinamento di un team tecnico di cybersecurity; 

• capacità di comunicazione con gli altri dipartimenti aziendali per promuovere una corretta cultura di cybersecurity awareness; 

• capacità di relazionarsi con i vertici aziendali e con gli stakeholder per essere in grado di motivare e programmare gli investimenti di sicurezza informatica.