“Una visione olistica della Cybersecurity – evidenzia la compagnia – che tiene conto del contesto di riferimento internazionale, dell’area territoriale di riferimento, del proprio core business e delle strategie di espansione, per arrivare alla creazione di un framework “tailor made” della gestione del rischio”. Per rendere operativa questa strategia, CNP Partners ha reso necessario attuare misure organizzative e tecnologiche dove la chiave di volta è la formazione ai dipendenti.
La linea rossa del maggio 2018, data in cui è prevista l’attuazione del Regolamento Europeo sulla Data Protection (General Data Protection Regulation – GDPR), finalizzato a creare un terreno normativo comune volto a disciplinare il trattamento dei dati a tutela dei cittadini e del mercato europeo, diventa “uno spauracchio obbligatorio per tutte le realtà commerciali”.
Per CNP Partners è risultato quindi importante “iniziare un percorso di consapevolezza normativa sul tema del Cyber Crime e far conoscere le continue evoluzione normative in ambito tecnologico”, poichè appare chiaro che il pericolo peggiore è quello che prevede sanzioni pecuniarie che possono arrivare al 4% (fino a 20 milioni di euro) del fatturato mondiale annuo del gruppo a cui l’impresa fa capo. I Security Day, le giornate di formazione indette da CNP Partners con la partecipazione di esperti dal settore IT, Security e legale, rappresentano “uno dei passi fondamentali” per far luce sul “Sistema Privacy” e coinvolgere tutti gli operatori quali primi attori coinvolti negli obblighi della GDPR.
“Quando si parla di sicurezza dei dati e di quello che il cyber spazio muove ogni volta che lo visitiamo – sottolinea la compagnia – ci ritroviamo in un cloud d’incertezza. Ad avvalorarlo c’è lo scenario internazionale e quello italiano in particolare, poichè evidenzia un enorme rischio per la tutela di chiunque utilizzi strumenti tecnologici, dal privato cittadino alle Multinazionali. La situazione è critica per chi gestisce dati che possono avere un valore commerciale”.
Analizzando i dati pubblici ad oggi disponibili appare evidente che in termini di gestione della Sicurezza delle Informazioni le aziende si trovano a gestire un’emergenza, proprio perché non esistono attualmente strumenti tecnologici in gradi di azzerare completamente i rischi di un possibile attacco, seppur banale e di scarso effetto. Secondo il “2016 Cost of Data Breach Study, Global Analysis” pubblicato dal Ponemon Institute, il costo medio per record rubato è tra i 200 e i 250 Euro per le aziende nel settore “Servizi/Finance” e questo costo è cresciuto con percentuali a due cifre negli ultimi anni. Guardando all’Italia, il 70% degli “incidenti” è causato da episodi di Cyber Crime, con un incidenza del 32% negli ultimi 5 anni, che comportano perdite ingenti per le aziende detentrici di dati potenzialmente manipolabili. Secondo i dati del 2014 pubblicati da UNICRI, si parla di perdite aziendali per 7,4 miliardi di Euro in danni di immagine, reputazionali, costi di recupero e perdita dati.
I quattro “buoni consigli” dei Security Day di CNP Partners:
- È necessario utilizzare password difficili da indovinare per i programmi automatici, diverse per ogni servizio utilizzato, e cambiarle con adeguata frequenza. La gestione delle password è un tema ancora tanto banale quanto foriero di incidenti.
- Bisogna porre molta attenzione alle sempre più diffuse truffe basate sul Social Engineering*; il Cybercrime, sfruttando questa tecnica (via email, telefono o di persona) riesce a carpire informazioni e a sottrarre ai malcapitati somme di denaro a volte ingenti;
- Porre massima cautela nella gestione delle mail che riceviamo sia per gli allegati sia per i contenuti: oltre al rischio di contrarre malware cliccando maldestramente su link e allegati al messaggio, una email senza allegati o link potrebbe comunque essere un vettore di attacco basato sul Social Engineering.
- Si deve conoscere il valore delle informazioni gestite anche per poter adottare la corretta strategia di condivisione con terzi; gli strumenti utilizzati per elaborare e conservare queste informazioni devono essere calibrati su questo principio. A titolo di esempio, il Cloud non è il luogo migliore dove custodire le scansioni dei propri documenti di identità e il post-it attaccato al monitor non è una buona soluzione per gestire la propria password.