
Aumentano gli attacchi e il bisogno di investire, ma attenzione a non commettere l’errore più importante. Il ruolo cruciale della iso 27001.
Non possiamo permetterci di perdere altri soldi. Mi riferisco alla fitta rete di PMI che rappresenta la spina dorsale dell’economia italiana, quindi anche io e te rientriamo in questa categoria.
Non ce lo possiamo permettere perché la bufera imperversa e abbiamo tutto l’interesse a uscirne indenni e più forti.
Sono molti i colleghi che non ce l’hanno fatta e la causa – spesso – non è stata economica, ma di mentalità. Sì, quando parliamo di cyber attack, non sempre il problema riguarda l’aspetto tecnologico della vicenda, ma quello umano.
Cyber attacks, la metà colpisce le PMI
Secondo il Sole 24 ore, «circa la metà dei furti di dati seguiti ai cyber attack ha riguardato una PMI e quasi una PMI su quattro fallisce dopo una violazione importante dei propri sistemi informativi».
E ancora, secondo il Corriere economia «la metà delle piccole imprese italiane ha difficoltà a finanziare miglioramenti nella sicurezza informatica, anche se si rende conto dell’importanza di proteggersi dalle minacce».
Indubbiamente l’aspetto economico conta, ma il mindset conta ancora di più. Ecco perché strumenti come la ISO 27001 sono fondamentali per la gestione della sicurezza delle informazioni. Vien da sé che strumenti come questo funzionano quando se ne coglie lo spirito.
Fabrizio Cirilli, su cybersecurty360, conferma quella che è anche la mia esperienza. «Un problema comune, nel corso degli audit, è la corretta identificazione dei ruoli in un sistema di gestione per la sicurezza delle informazioni (Sgsi). Vedo sempre più spesso ruoli che poco c’entrano con la norma. Mentre mancano proprio quelli richiesti dalla ISO 27001».
LEGGI ANCHE: Evitare riscatti milionari con la ISO27001
Prima di ogni investimento conta il fattore umano
È compito della leadership individuare obiettivi, ruoli e responsabilità. È sempre compito della leadership (o alta direzione) comunicare in modo chiaro la politica aziendale.
Ecco perché, pur parlando di una norma come la 27001, do priorità all’aspetto umano. Una buona parte degli attacchi informatici, infatti, non dipende dall’aspetto meramente tecnologico, ma da sviste o dalla mancanza di chiarezza in azienda.
Furto dati, la minaccia è interna all’azienda
Non è solo la mia esperienza, lo dicono anche i numeri. Secondo una ricerca pubblicata su datamanger.it, «con il crescere del fenomeno della Great Resignation, abbiamo visto crescere le sfide associate alle minacce interne. Nel 2022 ci si aspetta un aumento di questo tipo di minaccia. Gli aggressori inizieranno anche a prendere di mira i dipendenti per portare a termine i loro attacchi o per diffondere ransomware». E ancora: «Il più grande ostacolo a una sicurezza informatica efficace non è il numero di attori malintenzionati, ma l’incapacità delle organizzazioni di mettere in pratica i principi basilari della cyber hygiene».
Ed allora, come fare? Lo spiegherò bene la prossima volta. In questo Pensamento ho voluto mettere a fuoco il problema, perché è bene porsi prima le giuste domande. Solo così possiamo pensare a soluzioni efficaci. Altrimenti, anche la ISO 27001, pur essendo uno strumento fondamentale, può risultare inefficace se mal applicata.
Diventare capi di se stessi
Però un consiglio pratico voglio dartelo già oggi. È un aspetto su cui sto lavorando io stesso e vale per tutti, che tu sia un imprenditore, un manager o un impiegato: la vera sfida è diventare il capo di noi stessi. Ma non per fare ciò che ci pare e piace. Essere capi di noi stessi vuol dire affrontare il tema del cambiamento continuo, della trasformazione e del miglioramento. E per lavorare su questo non serve spendere soldi per l’ultimo ritrovato tecnologico. Serve una cosa sola: coraggio.
Continua…1