Andreas Hölzli, Leiter Kompetenzzentrum Cyber Risk bei der Mobiliar

Intervista: anche se le PMI si difendono meglio dagli hacker, le lacune rimangono

La tendenza è positiva e si è rafforzata con l'aumento dei collaboratori in home office: sempre più PMI svizzere mettono in campo misure tecniche per tutelarsi dagli attacchi informatici, come nuovi software di sicurezza, firewall, password più efficaci, backup di dati, ecc. Ma è sufficiente?

Nel 2020 un quarto delle PMI ha subito almeno un attacco, un terzo nell'anno successivo. In che misura gli attacchi informatici abbiano ripreso ad aumentare dall'inizio della pandemia è uno dei risultati dello studio rappresentativo svolto da digitalswitzerland, della Scuola universitaria professionale della Svizzera nord-occidentale, dell'Accademia svizzera delle scienze tecniche, gfs-zürich e la Mobiliare. Oltre 500 responsabili di conduzione si sono espressi sul tema dell’home office, della sicurezza informatica e della protezione dei dati. Dall'inizio della pandemia è il secondo studio di questo genere.

Lacune nella protezione informatica

«In ambito organizzativo c'è ancora molto da fare», sostiene Andreas Hölzli. Proprio là dove i criminali informatici sono soliti colpire – tra i collaboratori – si va più a rilento con la pianificazione e l'attuazione delle misure di protezione. Solo la metà delle PMI svizzere dispone di un piano di sicurezza IT e solo due quinti istruiscono regolarmente i collaboratori o conducono controlli di sicurezza informatica.

Quindi la protezione informatica non è una questione principalmente tecnica? «No», afferma Andreas Hölzli. «Le misure tecniche sono molto importanti, ma rappresentano solo un aspetto del piano di sicurezza informatica. Ci vogliono anche misure organizzative e processi sicuri.» 

Ecco come le PMI, secondo lo studio attuale, si tutelano dagli attacchi informatici: la maggiore necessità d'azione si ravvisa a livello di misure organizzative: 

 

Cyberattacken
Cyberattacken II

Persone, processo, tecnica

Andreas Hölzli cita scenari tipo in cui possono svilupparsi rischi informatici: per esempio quando in un software vengono alla luce nuovi punti deboli che gli hacker possono sfruttare. Oppure quando i processi non sono chiaramente definiti e gli ex collaboratori hanno ancora accesso ai sistemi aziendali. In alternativa subentra il fattore umano: con i ritmi frenetici della vita quotidiana, è facile per i collaboratori dimenticarsi di verificare con attenzione il mittente di un'e-mail e cadere nella trappola del phishing.

Collaboratori all'altezza delle sfide

Quali sono le misure utili per ridurre anche i rischi informatici non tecnici? «La cosa più importante è sensibilizzare costantemente i collaboratori», sostiene Andreas Hölzli. «Basta una persona incauta o ignara che digiti i suoi dati nel luogo sbagliato e il danno è fatto.» Una PMI può affrontare il problema internamente, oppure affidarsi a fornitori esterni come la Mobiliare, che erogano formazioni sul tema in formato virtuale, incluse simulazioni di phishing.

Essere preparati

Mai prima d'ora si sono trasmessi, archiviati, salvati e collegati in rete così tanti dati. La sicurezza IT si sta trasformando in un compito strategico del management. Perché se la tecnologia non funziona, in alcuni casi l’impresa deve chiudere. Per Andreas Hölzli, nell’ambito della sicurezza informatica, è d'obbligo un inventario completo dell'infrastruttura IT: «Spesso le imprese non sanno nemmeno come sia composta la loro dotazione hardware e software e se l'intera infrastruttura IT sia soggetta a una manutenzione adeguata». Soprattutto nel caso di un attacco, sono cruciali anche competenze e processi chiari. «Quando gli attacchi informatici sono in corso e i sistemi bloccati, è troppo tardi per mettere a punto un piano d'emergenza. Bisogna definire preventivamente come condurre l'attività durante una crisi.»

Sostenere e rafforzare le PMI a fronte delle sfide digitali: è questo l'obiettivo del secondo studio su home office e sicurezza informatica dall'inizio della pandemia, al quale hanno partecipato oltre 500 PMI di tutta la Svizzera. Lo studio è stato condotto da digitalswitzerland, dalla Scuola universitaria professionale della Svizzera nord-occidentale, dall'Accademia svizzera delle scienze tecniche, gfs-zürich e la Mobiliare. I risultati dello studio sono disponibili su www.mobiliare.ch/studio-pmi con grafici, articoli supplementari e guide alla sicurezza informatica.