“Una visione olistica della Cybersecurity – evidenzia la compagnia – che tiene conto del contesto di riferimento internazionale, dell’area territoriale di riferimento, del proprio core business e delle strategie di espansione, per arrivare alla creazione di un framework “tailor made” della gestione del rischio”. Per rendere operativa questa strategia, CNP Partners ha reso necessario attuare misure organizzative e tecnologiche dove la chiave di volta è la formazione ai dipendenti.

La linea rossa del maggio 2018, data in cui è prevista l’attuazione del Regolamento Europeo sulla Data Protection (General Data Protection Regulation – GDPR), finalizzato a creare un terreno normativo comune volto a disciplinare il trattamento dei dati a tutela dei cittadini e del mercato europeo, diventa “uno spauracchio obbligatorio per tutte le realtà commerciali”.

Per CNP Partners è risultato quindi importante “iniziare un percorso di consapevolezza normativa sul tema del Cyber Crime e far conoscere le continue evoluzione normative in ambito tecnologico”, poichè appare chiaro che il pericolo peggiore è quello che prevede sanzioni pecuniarie che possono arrivare al 4% (fino a 20 milioni di euro) del fatturato mondiale annuo del gruppo a cui l’impresa fa capo. I Security Day, le giornate di formazione indette da CNP Partners con la partecipazione di esperti dal settore IT, Security e legale, rappresentano “uno dei passi fondamentali” per far luce sul “Sistema Privacy” e coinvolgere tutti gli operatori quali primi attori coinvolti negli obblighi della GDPR.

“Quando si parla di sicurezza dei dati e di quello che il cyber spazio muove ogni volta che lo visitiamo – sottolinea la compagnia – ci ritroviamo in un cloud d’incertezza. Ad avvalorarlo c’è lo scenario internazionale e quello italiano in particolare, poichè evidenzia un enorme rischio per la tutela di chiunque utilizzi strumenti tecnologici, dal privato cittadino alle Multinazionali. La situazione è critica per chi gestisce dati che possono avere un valore commerciale”.

Analizzando i dati pubblici ad oggi disponibili appare evidente che in termini di gestione della Sicurezza delle Informazioni le aziende si trovano a gestire un’emergenza, proprio perché non esistono attualmente strumenti tecnologici in gradi di azzerare completamente i rischi di un possibile attacco, seppur banale e di scarso effetto. Secondo il “2016 Cost of Data Breach Study, Global Analysis” pubblicato dal Ponemon Institute, il costo medio per record rubato è tra i 200 e i 250 Euro per le aziende nel settore “Servizi/Finance” e questo costo è cresciuto con percentuali a due cifre negli ultimi anni. Guardando all’Italia, il 70% degli “incidenti” è causato da episodi di Cyber Crime, con un incidenza del 32% negli ultimi 5 anni, che comportano perdite ingenti per le aziende detentrici di dati potenzialmente manipolabili. Secondo i dati del 2014 pubblicati da UNICRI, si parla di perdite aziendali per 7,4 miliardi di Euro in danni di immagine, reputazionali, costi di recupero e perdita dati.

I quattro “buoni consigli” dei Security Day di CNP Partners:

1. È necessario utilizzare password difficili da indovinare per i programmi automatici, diverse per ogni servizio utilizzato, e cambiarle con adeguata frequenza. La gestione delle password è un tema ancora tanto banale quanto foriero di incidenti.
2. Bisogna porre molta attenzione alle sempre più diffuse truffe basate sul Social Engineering*; il Cybercrime, sfruttando questa tecnica (via email, telefono o di persona) riesce a carpire informazioni e a sottrarre ai malcapitati somme di denaro a volte ingenti;
3. Porre massima cautela nella gestione delle mail che riceviamo sia per gli allegati sia per i contenuti: oltre al rischio di contrarre malware cliccando maldestramente su link e allegati al messaggio, una email senza allegati o link potrebbe comunque essere un vettore di attacco basato sul Social Engineering.
4. Si deve conoscere il valore delle informazioni gestite anche per poter adottare la corretta strategia di condivisione con terzi; gli strumenti utilizzati per elaborare e conservare queste informazioni devono essere calibrati su questo principio. A titolo di esempio, il Cloud non è il luogo migliore dove custodire le scansioni dei propri documenti di identità e il post-it attaccato al monitor non è una buona soluzione per gestire la propria password.