Il Rapporto Clusit del 2024 disegna un quadro piuttosto inquietante, soprattutto per le imprese italiane. A fronte, infatti, di un incremento globale degli incidenti informatici pari a +12%, quelli indirizzati a soggetti italiani sono aumentati del 65%. Addirittura, il 47% di tutti gli incidenti censiti dal 2019 ad oggi è avvenuto nel 2023, anno cui il rapporto si riferisce; se a questo sommiamo il costante aumento di severity degli attacchi, la cui componente critica cresce del 2% rispetto alla rilevazione precedente, otteniamo un quadro che certamente invita all’azione. Ma soprattutto, un quadro che invita all’azione tutte le imprese, non soltanto quelle più grandi e strutturate.
Proteggere l’ERP: la consapevolezza c’è, manca la competenza
Per qualsiasi azienda, proteggere l’ERP da un’infinità di minacce interne ed esterne è una delle prime cose da fare. Il motivo si intuisce facilmente: se l’attacco, che supponiamo andare a buon fine, colpisce l’accessibilità del sistema core dell’azienda, si ha un serio problema di continuità del business; se invece colpisce la riservatezza dei dati, si ha un data breach.
In entrambi i casi, il costo può condizionare la sopravvivenza dell’azienda: pur in un contesto di piccole dimensioni, le statistiche del downtime difficilmente scendono sotto i 200 dollari al minuto, mentre per le grandi realtà si cita ancora l’ormai anziana statistica di Gartner dei 5.600 dollari al minuto. Per quanto concerne i data breach, l’ultima rilevazione di IBM supera i 4 milioni di dollari. In poche parole, il costo è troppo alto per molte aziende, anche perché le statistiche non tengono conto degli effetti a lungo termine sulla reputazione aziendale.
Secondo Mattia Macellari, direttore operativo di CATA informatica, il problema delle aziende italiane non è la consapevolezza: “dal nostro osservatorio, che riguarda circa 400 imprese operanti sul territorio italiano, notiamo una forte attenzione su questo tema, ma anche scarsa chiarezza sulle azioni da intraprendere”. Il problema non è tecnologico, poiché il mercato offre tutte le soluzioni necessarie; la vera sfida risiede nella capacità di utilizzare efficacemente queste tecnologie per ridurre al minimo il rischio di attacchi, pur nella consapevolezza che la sicurezza al 100% non esiste. Inoltre, “È necessario un impegno strategico dell’azienda, che deve lavorare per minimizzare il rischio di attacchi”, cosa che apre le porte al macro-tema della cultura aziendale.
Come proteggere l’ERP: i 4 pilastri
Andiamo sul pratico, ovvero domandiamoci cosa dovrebbe fare una piccola o media impresa per difendere il suo gestionale e non incorrere in danni economici, reputazionali e di compliance.
A tal proposito, Macellari identifica quattro componenti fondamentali: “innanzitutto, bisogna fare in modo che il software venga sempre aggiornato, in modo frequente e continuo. Poi è necessario implementare il monitoraggio continuo per la gestione del rischio, formare gli utenti per evitare comportamenti pericolosi e, ovviamente, disporre di soluzioni moderne, sviluppate in modo sicuro anche per quanto concerne tutte le interconnessioni dell’ERP con gli ecosistemi esterni”.
In quest’ultimo caso, l’esempio d’elezione è quello della manifattura, che ha ormai abbracciato il paradigma 4.0 integrando macchinari, sistemi di logistica ed altri ecosistemi esterni: tutti i punti di accesso e di contatto con l’esterno devono essere protetti, e qui entra in gioco principalmente la solidità della soluzione e l’impegno del produttore nell’aggiornamento continuo. Nella fattispecie, CATA è partner TeamSystem e aiuta le imprese a rendere il proprio ERP sicuro e resiliente attraverso attività di vulnerability assessment, a seguito delle quali definisce delle roadmap di potenziamento della sicurezza, comprensive di monitoraggio, di piani di aggiornamento e di formazione per gli utenti.
Il cloud aumenta la protezione dell’ERP
Il cloud non è solo un modo per ottimizzare i costi e la scalabilità, ma rappresenta un vero e proprio passo avanti in termini di sicurezza dell’ERP. In passato, i timori relativi alla protezione e al controllo del dato hanno fatto credere alle aziende che il deployment on-premise fosse intrinsecamente più sicuro rispetto al cloud. Oggi, la situazione è completamente ribaltata, e la stessa CATA suggerisce alle aziende di appoggiarsi al cloud. Anzi, il passaggio al cloud è, per molte aziende, un passo avanti importante nell’ottica di un business continuity plan ampio ed efficace.
I motivi sono chiari: “In primis – spiega Macellari – l’azienda può contare su un aggiornamento continuo e automatizzato dell’intero stack software, che comprende l’applicativo e il sistema operativo. Questo significa che i clienti non devono preoccuparsi di installare manualmente patch e aggiornamenti, eliminando il rischio di vulnerabilità dovute a software obsoleto”. Al contrario, in un’installazione on-premise, l’aggiornamento viene talvolta rimandato proprio per evitare il downtime, cosa che espone l’ambiente IT a molteplici minacce. Inoltre, il cloud offre connessioni con ecosistemi esterni altamente protette, eliminando la necessità di introdurre delle restrizioni rigidissime di accesso che finiscono per condizionare la produttività.
Ovviamente, quando si opta per il cloud è fondamentale rivolgersi a provider di alto profilo in ottica di resilienza, con tutte le certificazioni del caso. “Per questo motivo, abbiamo stretto degli accordi con importanti operatori che ci mettono a disposizione data center certificati e monitorati da strutture SOC. Grazie ai sistemi di protezione fisica e logica, nonché alle molteplici ridondanze, questi data center offrono un uptime prossimo al 100%”. Inoltre, adottare un paradigma cloud significa poter accedere a servizi di continuità del business e di protezione del dato in modalità as-a-service, che di fatto permette a tutte le imprese di usufruire del meglio della tecnologia mondiale.
