Cybersecurity, Italia non al sicuro? Colpa del personale senza formazione

Cybersecurity, la colpa degli attacchi hacker è causata dall’incompetenza del personale

Si è concluso da poco il mese della cyber-security. Negli ultimi tempi, con “l’esplosione” delle aziende Big Tech e della sempre più crescente attitudine a informatizzare qualsiasi cosa ci circondi, sentire questo termine fa ormai parte della routine degli italiani. Ma che cosa si intende davvero con cyber-security? Per capirne di più abbiamo sentito Alessandra Vitagliozzi, Security & compliance advisory manager di Maticmind, tra i leader europei specializzati nelle soluzioni informatiche.

Che cos’è la cyber security?

Fino a qualche anno fa si parlava di sicurezza delle informazioni a tutto tondo. Non si intendeva, infatti, la “protezione” dei soli dati digitali, ma anche di quelli non informatizzati come nel caso dei documenti cartacei. È solo con l’introduzione di nuovi scenari di minaccia esterna (e dunque attraverso la rete internet) che si è venuta a formare una distinzione tra le due cose.

Ma siccome al giorno d’oggi l’inglesismo va di moda e fa più brillante, nell’immaginario collettivo con il termine cyber-security si intende anche la protezione di ciò che non è digitale. Ma non è corretto.

La cyber-security “si occupa” infatti del cyber-spazio, ovvero tutto ciò che, attraverso internet, si trova “al di fuori” dell’organizzazione. Mentre invece, usando l’esempio della privacy, il referto medico cartaceo contenente dati sensibili di un paziente non rientrerebbe nella cyber-sicurezza, bensì nella “sicurezza delle informazioni”. Due “arti” ben distinte, seppur con molti punti in comune.

Come si proteggono le informazioni digitali di un’azienda?

La difesa passa attraverso due punti fondamentali: la tecnologia e l’organizzazione. Raramente si può dire di fare reale sicurezza senza che siano rispettate con lo stesso impegno le due aree.

Infatti, un’attività senza sistemi informatici “anti-intrusione” non può dire di essere al sicuro esattamente come un’azienda senza delle regole, ad esempio, sul come creare una banale password per proteggere un archivio di dati privati.

Nel mondo del cyber-spazio, per un’azienda, costruire un sistema di regole per i dipendenti proprio sul come fare cyber-security è tanto importante quanto avere un sistema informatico efficiente come un antivirus o un anti malware.

Molto spesso, infatti, gli attacchi informatici in Italia avvengono per mezzo di una persona che commette un errore. Si può sbagliare in più modi: che sia l’abboccare a una mail “trappola” (phishing) o il fornire dati sensibili senza verificare effettivamente chi stia chiedendo questi dati. Ma, in sintesi, l’errore umano è presente nella maggior parte dei casi.                                                      

Proprio per questo motivo, avere una solida formazione e avvalersi di una valida consulenza esterna, fanno parte del sistema di cose che non possono assolutamente mancare in un’azienda definibile “al sicuro”.

Ma la sicurezza definitiva, quella assoluta, non esiste. Un fattore fondamentale per una realtà aziendale è, infatti, saper valutare i rischi ai quali si è esposti per andare a definire cosa è accettabile perdere e cosa no.

L’Italia è un Paese digitalmente al sicuro?

Per quanto negli ultimi anni ci sia stata una forte accelerata su queste tematiche, nella realtà dei fatti siamo ancora molto indietro. In parole povere, il nostro Paese rappresenta il fanalino di coda del G7. Siamo infatti la “potenza” con il rapporto Pil/Cyber-security più basso.

Ma c’è anche una nota positiva. Infatti, c’è una forte differenza tra com’è messa la sicurezza della pubblica amministrazione locale rispetto a quella delle aziende. Abbiamo fornito consulenza a realtà pubbliche che risultavano troppo spesso impreparate, anche se va giustamente detto che ci siamo riscontrati pure con realtà davvero ben messe. Le aziende private, comunque, sono indubbiamente più mature.

Da quali settori provengono i vostri clienti?

Tra i nostri clienti ci sono molte strutture sanitarie, pubbliche amministrazioni locali (Regioni, Comuni, etc…), player dell’energia e aziende di utility.

Quali sono le skill necessarie per essere un operatore della cyber-security?

A livello di titolo di studio, ai giorni d’oggi è necessario avere una laurea in materie scientifiche. Sicuramente non è così per tutti i ruoli. Per quel che riguarda l’area della consulenza, allora sì, in quei casi è sempre più richiesta una laurea.

Ma la verità è che tra gli “smanettoni” è difficile trovare laureati. La maggior parte degli esperti, infatti, sono ragazzi appassionati di informatica che, post diploma, imparano da autodidatti. Ma il fattore principale direi che, tra le altre cose, è l’esperienza.