Le piccole e medie imprese, esattamente come le aziende di grandi dimensioni, sono esposte a continue minacce che hanno come bersaglio la sicurezza informatica. La trasformazione digitale che sta coinvolgendo un numero crescente di imprese, inoltre, sta rendendo ancora più esteso e concreto questo rischio, richiedendo anche alle piccole attività che si affacciano al digitale uno sforzo in più per proteggersi in modo efficace.
Qual è la strategia di cybersecurity più efficace per tenere al sicuro i dati, le risorse, i sistemi e le reti aziendali? Questo interrogativo pone le PMI davanti a una scelta che richiede attenzione, maturità e consapevolezza. La soluzione più semplice può sembrare quella di far gestire la cybersecurity a chi già si occupa delle infrastrutture IT, un unico interlocutore che può essere sia una figura interna all’azienda sia un consulente esterno. Dietro questa decisione si celano generalmente ragioni di natura economica, dettate da possibili carenze di risorse. Non tutte le imprese, infatti, hanno la possibilità di integrare un responsabile interno della sicurezza informatica, il cosiddetto CISO (Chief Information Security Officer).
Considerare IT e cybersecurity come un’unica responsabilità, tuttavia, può rivelarsi una scelta controproducente e impedire che questa seconda funzione venga svolta nel migliore dei modi. A sottolineare l’importanza di avere un sistema autonomo di gestione della cyber security sono anche i più elevati standard di settore (ISO 27001:2013 e NIST CSF), tenendo conto di una insufficiente consapevolezza dei responsabili aziendali rispetto ai temi della security.
Per rendere realmente efficace una strategia di cybersecurity, infatti, è fondamentale investire nelle competenze specifiche e nel progressivo aggiornamento delle stesse, che devono focalizzarsi sulle minacce in continua evoluzione. Le priorità dell’IT che supporta il business, inoltre, possono non allinearsi alle esigenze di chi deve garantire la massima protezione ai dati, ai sistemi e ai dipendenti, generando un conflitto di interessi che può nuocere alla stessa azienda.
Un piano strategico di sicurezza informatica destinato a rivelarsi valido a lungo termine, quindi, dovrebbe prendere in considerazione l’opportunità di affidarsi a un Security Provider in grado di supportare le aziende nella gestione del rischio a trecentosessanta gradi. La sicurezza informatica comprende funzioni e necessità che non riguardano gli aspetti meramente tecnologici.
A mettere in evidenza questo concetto è Marco Bavazzano, AD di Axitea, Global Security Provider per la sicurezza fisica e la sicurezza informatica per PMI e grandi imprese private e pubbliche:
L’impatto di una minaccia cyber può essere significativo dal punto di vista economico. È pertanto evidente che la strategia di contrasto a questi potenziali rischi deve essere riconducibile a una decisione del board e dell’Amministratore Delegato, invece la mancata consapevolezza determina che queste decisioni nelle piccole aziende vengano spesso ricondotte al dipartimento tecnico.
Per Axitea, tuttavia, la collaborazione tra IT e sicurezza non deve comunque venire meno, proprio perché entrambi i comparti sono legati solidamente ai processi di business aziendali. Una strategia di sicurezza adeguata si basa indubbiamente su una corretta gestione dell’infrastruttura IT ma non si esaurisce con questa, coinvolgendo anche tutto ciò che riguarda la connettività, i sistemi individuali e soprattutto le persone e i loro comportamenti. L’importanza di tenere separati i ruoli di svolti dall’IT Manager e da chi gestisce la Security, ad esempio, è evidente prendendo in considerazione la funzione fondamentale delle patch di sicurezza. Per fronteggiare i tentativi di attacco messi in atto ogni giorno dai criminali informatici, infatti, chi si occupa di infrastrutture IT deve generare appositi aggiornamenti per correggere le vulnerabilità di sistemi o di programmi. Allo stesso tempo, chi gestisce la cybersecurity è chiamato a verificare che questo lavoro sia svolto in modo continuo e preciso.
Per maggiori informazioni sulle soluzioni Axitea consultare il portale ufficiale.