Ritardi negli investimenti, difficoltà nelle valutazioni di rischio, approssimazioni nell’assetto organizzativo rendono le aziende più vulnerabili sul fronte della sicurezza informatica. Ecco il parere di Alessio Pennasilico, membro del comitato direttivo di Clusit.
“Gli attacchi di ransomware dello scorso anno hanno creato molta più consapevolezza sul cybercrime di dieci anni di convegni”. Così commenta sarcastico Alessio Pennasilico, membro del comitato direttivo del Clusit, lo stato d’attenzione delle imprese italiane nei riguardi della sicurezza informatica. Attenzione peraltro del tutto insufficiente, come dimostrano i dati riportati nel Rapporto Clusit 2018e lo scarso peso degli investimenti in rapporto con l’ICT: “Solo l’1% è speso nella sicurezza, contro il 10% che gli analisti di Gartner ritengono appropriato”. Malgrado l’effetto positivo degli obblighi di compliance GDPR restano nelle aziende italiane problemi a rispettare la scadenza del 25 maggio prossimo. Di seguito ciò che ci ha raccontato Pennasilico in occasione di un nostro recente incontro a Milano.
ZeroUno: La scadenza degli obblighi GDPR è vicina. Qual è lo stato delle aziende italiane?
Alessio Pennasilico: Lo stato di adeguamento è scarso, quasi tutte hanno realizzato il Registro dei Trattamenti – sanno insomma quali informazioni hanno – ma sono lontane dall’aver messo a punto le misure richieste, riuscire ad analizzare in profondità il rischio e nominato le persone responsabili. C’è più di un motivo per ritenere che le aziende italiane si presenteranno in ritardo all’appuntamento GDPR.
ZeroUno: I danni hanno aumentato la consapevolezza. Che cosa ostacola gli investimenti?
Alessio Pennasilico: La capacità di spesa nella sicurezza informatica esiste, ma spesso manca la capacità di giustificare gli investimenti. Una delle difficoltà è infatti trovare gli argomenti per convincere il board aziendale, raccontando le cose con il giusto linguaggio, far comprendere quali sono i rischi, i benefici per l’azienda immediati e per il futuro. Il rischio è parte integrante della vita aziendale, ma soltanto attraverso la conoscenza è possibile fare delle valutazioni corrette. Il rischio d’incorrere nelle pesanti sanzioni previste da GDPR giustifica oggi alcuni investimenti. Investimenti che permettono di fare analisi quantitative, disegnare la curva gaussiana del rischio sulla quale ragionare per indirizzare le risorse. Iniziando dalle minacce più probabili e significative per poi proseguire laddove i danni non sono gravi o la probabilità che si verifichino è più scarsa. Questi sono gli argomenti sui quali il board può prendere delle decisioni.
ZeroUno: C’è quindi un problema nel calcolare il ROI della security informatica?
Alessio Pennasilico: Al di là del mondo bancario, dove c’è più attenzione ad aspetti di produttività e sicurezza, in altri settori domina l’approssimazione. Molte aziende non conoscono qual è il costo orario di un fermo dei sistemi causato da un attacco informatico o, quando lo sanno, è incompleto. Nel computo finiscono gli elementi più facili da calcolare, come la mancata produzione, si dimenticano però i danni quali la perdita di clienti o della reputazione.
ZeroUno: La scarsa cultura nella sicurezza ha risvolti organizzativi?
Alessio Pennasilico: Incontro nel mio lavoro le situazioni più diverse. All’estremo c’è la scelta di una multinazionale di mettere in ogni business unit figure responsabili dell’IT e della security: una modalità di presidio molto impegnativa ma anche frammentata, malgrado l’esistenza di un coordinamento centrale. In generale le cose vanno meglio dove esiste la figura del CISO, anche se il suo raggio d’azione dipende dall’organigramma aziendale: se è sottoposto al CIO, al responsabile HR, oppure se opera nel controllo gestione. Questo ha implicazioni a livello dei budget di spesa; non è infrequente che il responsabile della sicurezza debba chiedere al marketing o ad altri reparti le risorse per la difesa dalle minacce a cui sono più sensibili. Le posizioni apicali di chi si occupa della sicurezza logica sono una prerogativa delle aziende che hanno più tradizione nella sicurezza fisica. Spesso però accompagnata da problemi di competenze.