Ehhh, sì. Purtoppo molte aziende (non solo quelle medio piccole), tendono a vedere il budget per la sicurezza informatica come fumo negli occhi. Solo un costo “necessario” da ridurre al minimo essenziale senza nemmeno uno straccio di progetto di visione di insieme. Fortunatamente non sono tutti così.

Partiamo dal titolo dell’articolo. Se chiediamo ai CEO e ai titolari, di paragonare la propria azienda ad un’auto, a quale la paragonerebbero? A una vecchia e scalcinata utilitaria oppure ad un’auto di lusso con Ambrogio come autista oppure ancora ad una roboante auto da corsa con le fiammate disegnate sulle fiancate?

Ora, al netto del gusto personale, ovviamente non paragoneranno mai la propria azienda ad una scalcinata auto utilitaria. Per citare un noto detto napoletano “Ogni scarrafone è bello a mamma soja”, avranno quindi una visione molto di parte e annebbiata.

Bene. Consideriamo la nostra azienda una bellissima auto di lusso del costo di decine e decine di migliaia di euro. Fareste solo l’assicurazione RCA minima di legge, oppure prendereste in forte considerazione opzioni più costose con coperture più estese come kasko, furto, incendio atti vandalici ecc. ecc.? Se seguiamo il buon senso la risposta viene da sè.

Lascereste inoltre guidare la vostra auto da una persona sconosciuta con voi a bordo e che ha comportamenti spericolati alla giuda? Anche qui il buon senso ci da la risposta.

Valutereste l’opzione di parcheggiarla in una zona malfamata della vostra città, al buio, con i finestrini aperti e le chiavi nel cruscotto? Credo che anche qui non ci sia da discutere su cosa scegliere.

Mettiamo insieme le due cose. Se il buon senso nella sicurezza informatica non ha effetto, pensate allora di avere una bellissima auto (la vostra azienda). Senza opzioni estese di assicurazione e con l’RCA base (un antivirus scadente come baluardo di sicurezza). Parcheggiata di notte in un luogo malfamato (internet). Con le chiavi nel cruscotto (senza un firewall decente), lasciado libero accesso a chiunque con il finestrino aperto (esposizione vulnerabilità all’esterno). Cosa immaginate che potrà succedere??

Come sempre un giusto equilibrio è necessario. Ok mettiamo qualche accessorio in più alla nostra autovettura ma magari evitiamo di disegnare le fiammate sulle fiancate.

Le aziende con i loro CEO, dovrebbero vedere l’investimento in questo importante processo aziendale, come un vantaggio competittivo. Ormai l’informazione è “l’oro del nuovo millennio” e come tale, ambito e ricercato. Le spie e lo spionaggio esistono dalla notte dei tempi. Lo scopo principale era quello di reperire informazioni per sfruttarle a loro vantaggio o a vantaggio di chi le assoldava.

Cosa è cambiato al giorno d’oggi? Nulla. Sono solo cambiate le tecniche (cyberattacchi) e il tipo di supporto dove vengono custodite (supporti digitali). Volete che le vostre informazioni strategiche vengano rubate e sfruttate dai vostri competitor? Certamente no.

Ora prendete questa domanda e buttatela nel campo del vostro cliente. Sarebbe contento di affidare le proprie informazioni strategiche ad un fornitore che ha l’alta probabilità di venire violato da un attacco informatico? Anche qui la risposta è nella domanda.

Usate la vostra vision e postura rivolta alla sicurezza delle informazioni (non solo quelle digitali), come un prezioso strumento di marketing e brand awareness. Esponete la vostra bellissima auto con tanto di accessori in vetrina e mostratela ai vostri clienti.

Spero di avervi convinto a questo punto. Facciamoci quest’ultima domanda (davvero lo prometto…). Ma da dove parto e come faccio a capire quali sono i rischi della mia azienda e come faccio ad affrontarli?

Bene se sei riuscito ad arrivare fino a qui, la soluzione può essere quella di NON partire da un foglio bianco e inventarsi l’acqua calda ma bensì dare una lettura o documentarsi sugli standard internazionali che possono aiutarci:

  • ISO 31000:2018. Linee guida sulla gestione dei rischi con un taglio generico a 360° sulla mia azienda. Non solo quello dei rischi informatici. Utile per togliere la “nebbia”.
  • ISO 27005:2022. Linee guida sulla gestione dei rischi ma con un taglio più dedicato alla protezione delle informazioni.
  • ISO 27001:2022. Norma ISO che è la principale per impostare un SGSI Sistema di Gestione della Sicurezza delle Informazioni.
  • ISO 27002:2022. linee guida sul come applicare i 93 controlli previsti nell’Annex A della ISO27001:2022.
  • NIST-800-53. Alter Ego della ISO 27001 ma emanata dal NIST americano. Utile per eventualmente migliorare la nostra postura di sicurezza oltre a quanto previsto dalle varie ISO
  • CIS Controls & Benckmarks. Non mi stuferò mai di consigliarli. Ti danno una postura di “igiene informatica” semplicemente configurando in modo corretto i sistemi che abbiamo in casa. Sorpresa!!! Non c’è da acquistare nulla. Abbiamo già tutto e questi controlli ci spiegano (a gratis) come fare bene il lavoro di hardening.
  • Le mie pubblicazioni su www.seccomarco.com che in modo semplice vi parla nel dettaglio anche della NIS2.

Grazie per la costanza di essre arrivati fino a qui.

Alle prossime!!