Come garantire la sicurezza in un mondo digitalizzato

Il punto sui progressi di digitalizzazione e sicurezza

Il costante progresso nel settore della digitalizzazione ha sortito un notevole impatto sulla sicurezza delle informazioni elaborate nel mondo digitale. La digitalizzazione non significa solo sviluppo tecnologico, ma è anche associata a vari tipi di minacce che riguardano entità pubbliche e commerciali. Il suo avvento apre le porte agli hacker, i quali traggono vantaggio dai punti deboli dei sistemi delle infrastrutture IT per scopi maligni, causando notevoli danni commerciali e reputazionali alle organizzazioni. Nel 2020 il 64% delle organizzazioni è stata vittima di almeno un caso di minacce informatiche. Come è possibile contrastare tali minacce in maniera efficace? Quali contromisure è possibile adottare?

L’importanza delle competenze nell’ambito della sicurezza informatica

Un aspetto importante relativo alla sicurezza informatica è rappresentato dalla scarsità di esperti in specializzati in sicurezza. Più specificamente, il settore scarseggia in termini figure professionali e investimenti in ambito di sicurezza delle infrastrutture IT. Secondo il rapporto "Cybersecurity Barometer", il 58% delle aziende intervistate, ha ammesso che la pandemia ha incrementato il rischio di attacchi informatici. Tuttavia, solo il 23% di queste ha incrementato i budget dedicati alla sicurezza in tale ambito.{{Footnote.A65961}}

Tali fattori hanno un impatto significativo in termini di fallimenti nel contrasto delle minacce informatiche e dei relativi rischi per le organizzazioni. Nonostante i continui rapporti relativi a violazioni dei dati e minacce informatiche nelle news, il settore della sicurezza IT non sembra rappresentare una priorità per circa il 60% delle aziende. Pertanto, non deve sorprendere che gli esperti di sicurezza IT siano una risorsa sottoutilizzata dalla maggior parte delle aziende. Spesso, si verificano situazioni in cui i team IT non dispongono delle competenze necessarie a implementare strategie di sicurezza adeguate. L’assenza di supervisione degli esperti e l’uso di strumenti necessari a prevenire gli attacchi, apre le porte a vulnerabilità di carattere più ampio nei sistemi IT. Appare chiaro che i dipendenti non stanno ricevendo sufficiente formazione in termini di best practice sulla sicurezza informatica e pertanto la loro consapevolezza sulle minacce informatiche è minima.

Il ruolo chiave della protezione dei dati

Un’altra area dell’infrastruttura IT che spesso viene dimenticata, è quella associata alla supervisione mediante responsabili della protezione dati nel settore dell’elaborazione dei dati personali. Le mansioni dei responsabili protezione dati sono state integrate nei regolamenti del Parlamento Europeo e del Consiglio UE. Si tratta di un ruolo importante nell’ambito della sicurezza dei sistemi IT, in quanto i responsabili protezione dati sono responsabili della formulazione delle valutazioni di rischio delle operazioni di elaborazione dei dati. Essi devono anche tenere in considerazione natura, portata e scopi.

Reporting delle violazioni

Molte organizzazioni non notificano le violazioni relative agli attacchi informatici, alle perdite o furti di dati. La mancanza di rapporti è dovuta al timore di essere considerati responsabili in base ai regolamenti, come il GDPR (General Data Protection Regulation). Le organizzazioni che inviano i rapporti sono sempre preoccupate del rischio di poter ricevere sanzioni finanziarie onerose, unitamente a richieste di risarcimenti, nonché dei rischi associate alla perdita di reputazione per le aziende.

Assenza di investimenti negli strumenti IT adatti

Considerando i maggiori rischi che caratterizzano l’attuale panorama, la sicurezza IT dovrebbe essere in cima alla lista delle priorità, specialmente in considerazione dell’elevata quantità di dati elaborati e archiviati. Tuttavia, l’attuale livello di investimenti negli strumenti necessari a prevenire le perdite di dati è ancora insufficiente. Nonostante i progressi tecnologici nell'ambito della protezione dei dati, numerose organizzazioni non si sono adattate a ciò che è disponibile e non sono equipaggiate con le soluzioni più recenti.

Un esempio frequente consiste nel dotare i dipendenti di drive USB non crittografati per archiviare e trasferire dati sensibili. Si tratta di una strategia rischiosa, spesso dettata da esigenze di risparmio. In caso di perdite o furti di dati, l’accesso ai dati non è protetto da alcuna misura preventiva. Tale perdita può portare non solo a violazioni dei dati aziendali, ma anche danneggiare la reputazione delle aziende e portare a enormi perdite finanziarie e cause legali.