PMI, Assintel: con il cybercrime continuità operativa a rischio

Paola Generali (Assintel): le piccole e medie imprese non hanno una corretta percezione di come le vulnerabilità nella sicurezza possano avere un impatto significativo sul loro business. Pronto un libretto di istruzioni sulla sicurezza informatica.

Pubblicato il 01 Mar 2017

Backlit keyboard

La questione sicurezza informatica è salita alla ribalta delle agende delle aziende. Un tema delicatissimo, cruciale, anche se le aziende non hanno ancora compreso appieno i rischi legati alla gestione della cyber security e del cybercrime, come hanno evidenziato i dati del Politecnico di Milano. Proprio per far fronte a questa necessità, nei giorni scorsi Assintel, l’associazione nazionale delle imprese informatiche della galassia Confcommercio, ha nominato una vicepresidente con delega alla sicurezza informatica. È Paola Generali, direttore generale di GetSolution, società specializzata in sistemi informativi, compliance e governace.

Qual è la consapevolezza che le piccole e medie imprese hanno della questione sicurezza informatica e cybercrime?
“Le micro, piccole e medie imprese hanno grosse difficoltà a comprendere le minacce e le vulnerabilità dei sistemi informatici. Bisogna spiegarle nella loro lingua. C’è una terminologia non facile, in inglese, in cui la piccola azienda non si riconosce. Quando spieghi che business continuity significa continuità operativa e che se manca, mancano gli introiti, allora si interessano”.

È un problema di educazione?
“Io coordino anche il gruppo di lavoro di Assintel sulla sicurezza e abbiamo ideato un piano di attività fitto. Creeremo un manuale, un libretto, dove spiegheremo in modo succinto e semplice, ma con esempi, i problemi di cyber security che una piccola azienda può vivere. Vogliamo aiutare gli imprenditori a prendere delle decisioni. Abbiamo definito una serie di webinar su argomenti di sicurezza informatica, della durata di un’ora, di cui 40 minuti di lezione e 20 aperti alle domande. Io ho fatto la prima sul nuovo regolamento europeo dei dati personali ed è stata un’esperienza positiva, avevamo tanti iscritti e molte domande pertinenti. La gente ha bisogno di conoscere. Abbiamo definito un workshop entro la fine di giugno, da presentare in varie città d’Italia”.

Ci sono incentivi per sostenere le spese in cyber security?
“Penso alle agevolazioni sulla sicurezza del piano industria 4.0. Anche in questo caso stiamo preparando un documento il più semplice possibile, in forma di tabella, per far capire agli imprenditori se i loro investimenti ricadono nelle casistiche agevolate”.

Paola Generali, direttore generale di Getsolution e vicepresidente Assintel in materia di cyber security

Cosa può iniziare a fare una piccola impresa per tutelarsi dal cybercrime?
“Bisogna prestare attenzione all’operatività. In genere ci si concentra sul lavoro, la sicurezza viene dopo e perciò si prendono pochi accorgimenti. Un esempio: le aziende in cui tutti gli utenti della rete informatica accedono a tutte le informazioni, anche se hanno compiti diversi. Meglio limitare gli accessi alle sole informazioni che servono per quel ruolo. Non si valutano i danni della mancanza di continuità operativa, che può essere la cancellazione della cartella di rete o del database clienti. Non si considera il caso del dipendente che lascia l’azienda con i dati del gruppo e apre una realtà concorrente. Esistono sistemi di log management che non costano molto ma permettono di controllare l’attività di download di file dalla rete. Oggi l’attacco informatico non è più mirato a tirar giù il sito web ma è rivolto al database. Se ho una newsletter o un concorso a cui ci si iscrive online, il database è prezioso”.

L’Europa ha varato un nuovo regolamento sui dati personali, che sarà pienamente operativo dal prossimo anno. Le aziende che vogliono farsi trovare preparate cosa devono sapere?
“La norma è scritta in modo anglosassone, con i principi, che sono semplici. L’applicazione è affidata all’azienda, che dovrà comprovarla. Ci sono due linee di sviluppo: by design e by default. La prima indica che per ogni nuovo servizio che comporta anche il trattamento di dati personali, bisogna disegnare un servizio ad hoc. Il secondo che in automatico bisogna usare solo i dati che servono e quelli vanno tutelati in automatico. Bisogna fare un’analisi sull’impatto di un attacco al database dei dati personali e studiare le contromisure. L’analisi riguarda anche i danni economici, di reputazione e di discriminazione che potrebbero subire gli interessati a cui appartengono i dati. Il regolamento ripete di usare sistemi di cifratura e di pseudo-anonimizzazione”.

Valuta la qualità di questo articolo

Z
Luca Zorloni

Cronaca ed economia mi sono sembrate per anni mondi distanti dal mio futuro. E poi mi sono ritrovato cronista economico. Prima i fatti, poi le opinioni. Collaboro con Il Giorno e Wired e, da qualche mese, con Innovation Post.

email Seguimi su

Articoli correlati

Articolo 1 di 4