29
Oct
Il cybercrime rappresenta globalmente uno dei rischi più insidiosi per le aziende, il maggiore per le imprese nordamericane ed europee, e costerà al mondo oltre 6 miliardi di dollari all’anno entro il 2021, rispetto ai 3 miliardi del 2015.
Se fino ad alcuni anni fa il fenomeno interessava soprattutto le grandi imprese, oggi non è più così e le piccole e medie imprese (PMI) sono colpite in modo sempre più crescente, ormai quasi quanto le prime. Tuttavia, mentre le grandi aziende, anche italiane, sono ormai mediamente più attrezzate nel contrasto al cyber crime e maggiormente in grado di assorbirne gli impatti, le PMI risultano senza dubbio meno preparate e quindi più esposte ai danni provocati da questa minaccia. Nonostante ciò la sicurezza informatica delle PMI rappresenta un tema ancora troppo poco esplorato, in particolare da parte dei governi. E visto che in Italia, più che in altri paesi, le PMI sono la spina dorsale dell’economia, diventa strategico come sistema-paese adoperarsi per spingerle a proteggersi maggiormente dalle minacce cyber. Per una gestione efficace della cybersecurity risulta fondamentale un approccio di tipo top-down, in cui le strategie vengano definite dai vertici aziendali e poi diffuse al resto dell’azienda. Purtroppo, i vertici aziendali delle PMI sono spesso i primi a non conoscere adeguatamente il rischio cyber e a delegare completamente la problematica al reparto IT. È quindi evidente quanto sia cruciale agire su questi al fine di innalzare il livello di cybersecurity delle nostre PMI.
L’obiettivo della ricerca è capire come si possa agire concretamente dall’esterno sui vertici delle PMI italiane al fine di stimolare in questi una più forte cultura della cybersecurity e di spingerli verso un maggiore impegno nella gestione di questa. A tale scopo, come prima fase del mio lavoro, ho analizzato gli studi che avessero già affrontato il problema su come stimolare dall’esterno il top management aziendale. Come risultato di questa analisi ho prodotto il modello concettuale raffigurato nella sottostante figura che descrive le forze esterne in grado di agire sul top management per spingerlo all’azione in ambito cybersecurity.
A mio avviso, questo dovrebbe essere il modello concettuale di riferimento che un organismo incaricato di stabilire e governare le iniziative per innalzare il livello di cybersecurity presso le nostre PMI dovrebbe sempre avere a mente, in modo da poter valutare tutte le leve su cui poter agire: coercitiva, normativa e mimetica.
Usando come riferimento tale modello concettuale, ho individuato le misure atte a stimolare una maggiore cultura della cybersecurity nelle PMI (e in particolare nel top management) adottate nei due paesi meglio preparati, secondo il “Global Cybersecurity Index 2018” dell’ITU, nella gestione della minaccia cyber: Regno Unito e Stati Uniti. Ho individuato alcune iniziative adottate in questi due paesi che sono assolutamente interessanti e che possono fornire delle valide indicazioni per una strategia nazionale rivolta a stimolare una maggiore cybersecurity nelle nostre PMI, agendo in particolare sui vertici aziendali. Le principali indicazioni sono:
– la creazione di uno meccanismo coercitivo, come lo schema “Cyber Essentials” del Regno Unito, che imponga alle imprese che vogliono lavorare con la pubblica amministrazione di possedere una certificazione che attesti l’adozione di alcune misure minime di sicurezza;
– la promozione di piattaforme per la condivisione di informazioni fra imprese, come il CiSP britannico e gli ISAO americani, che favoriscano la diffusione di una maggiore consapevolezza in ambito cyber;
– la disponibilità di statistiche e studi di origine istituzionale sul fenomeno cyber, come il “Cyber Security Breaches Survey” pubblicato ogni anno dal governo del Regno Unito, che possono sicuramente essere un valido strumento per aiutare i vertici delle nostre PMI a meglio comprendere la natura e l’impatto delle minacce informatiche che potrebbero colpirle;
– la disponibilità di un portale Web istituzionale, come quello del NCSC britannico e lo “Small Business Cybersecurity Corner” del NIST americano, che abbia la funzione di fornire gratuitamente alle imprese contenuti di security awareness, linee guida, corsi online e strumenti di supporto verso cui veicolare l’attenzione dei vertici delle PMI tramite opportune campagne informative;
– una formazione capillare sul territorio tramite enti più vicini alle PMI, come ad esempio le camere di commercio, sulla scia di quanto viene fatto negli Stati Uniti all’interno della “Small Business Development Center Cyber Strategy”.
La nostra industria è in una fase di profonda trasformazione digitale, legata in particolare all’Industria 4.0, che fornirà al cybercrime crescenti e inedite opportunità di attacco. Stiamo però vivendo solo la fase iniziale di questa trasformazione e i danni causati dai criminali informatici potranno sicuramente essere ben maggiori rispetto a quelli fin qui visti. È quindi necessario agire quanto prima come sistema-paese per far comprendere al top management delle PMI che la cybersecurity è un tema di strategia d’impresa che deve entrare nella sua agenda se si vuole evitare che a smuoverlo dall’inerzia ci pensino forze esterne “nemiche” come il cybercrime e la cyberwar.
Estratto dalla tesi del Master in “Intelligence Economica” ed. 2019-2020
Candidato Paolo Boaretto
Tutor Davide Del Vecchio
Trackbacks and pingbacks
No trackback or pingback available for this article.
Per qualsiasi domanda, compila il form
[contact_form name="contact-form"]
Leave a reply