All’Executive Cocktail “Come proteggere i dati in un business sempre più digital” organizzato da ZeroUno in collaborazione con Fujitsu e CommVault, lo scenario tecnologico di apertura ha messo in evidenza i rischi legati alla cyber security e l’importanza di un approccio strutturato alla business continuity, che parte analizzando il valore dell’informazione aziendale e l’entità dei danni causati da eventuali attacchi.
Di questo servizio fa parte anche il seguente articolo: | |
DIBATTITO – Quanto è complessa la protezione dei dati? Ecco cosa dicono le aziende italiane |
“Il dato – ha esordito Nicoletta Boldrini, giornalista di ZeroUno e chairman dell’incontro – è diventato l’asset principale di ogni organizzazione. Le aziende di qualsiasi settore pongono fortissima attenzione all’utilizzo interno delle informazioni e alla loro accessibilità dall’esterno. Il dipartimento IT viene coinvolto nella gestione delle informazioni a tutti i livelli, dagli addetti alle infrastrutture fino al team applicativo”.
“Tuttavia non c’è consapevolezza in azienda sull’effettivo valore delle informazioni – è intervenuto Alessio Pennasilico, Membro del Comitato Direttivo e del Comitato Tecnico Scientifico del ClusIt, mostrando le statistiche 2015 del Ponemon Institute: la perdita di un dato nel settore HealthCare può costare fino a 355 dollari, nell’Educazione 246, nel Finance 221… Secondo Unicri, invece, nel 2014 gli incidenti informatici hanno causato danni alle aziende italiane per 28,8 miliardi di euro: per interruzione dei sistemi (13 miliardi), perdita di informazione (8,4), brand reputation e recovery (7,4).
“Gli incidenti – ha precisato Pennasilico – sono imputabili agli attacchi criminali, errori di sistema ed errori umani [in Italia, sempre secondo Ponemon Institute, le percentuali sono 46%, 25%, 29%, ndr]. Questa complessità aggiunge un ulteriore problema alla protezione dei dati e fa aumentare i timori. Gli incidenti informatici sono al terzo posto nella classifica delle maggiori preoccupazioni per le aziende italiane (Allianz Risk Barometer, 2016)”.
A contribuire al quadro di pressione, il nuovo Gdpr (General Data Protection Regulation – Regolamento UE 2016/679) obbligherà le imprese a notificare la violazione dei dati personali sia all’autorità di controllo competente sia all’interessato, con sanzioni che possono arrivare fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente.
Se “non si potrà più nascondere la polvere sotto al tappeto”, cosa bisogna fare? “Innanzitutto occorre un cambio di approccio. Gli strumenti per la continuità operativa oggi esistono, il problema è fare percepire all’interno dell’azienda l’importanza del dato e delle procedure di gestione. Il linguaggio da utilizzare – ha sottolineato Pennasilico – è economico. Dobbiamo portare all’attenzione il valore in euro di un eventuale incidente, perché solo conoscendo la quantità di denaro in gioco si potranno prendere decisioni strategiche corrette”. Le parole magiche della ricetta, insomma, si riassumono in business impact analysis, quantitative risk analysis, business continuity plan. “Nel momento in cui dimostro che i soldi spesi per un attacco superano il costo degli investimenti necessari per i progetti di sicurezza – ha ribadito Pennasilico -, diminuiranno le obiezioni nell’approvazione dei budget. A questo punto, sono state messe le basi per l’implementazione di un framework di Cyber Risk Governance, che permette di evitare errori strategici, (come politiche di backup e snapshot non testate) e ripaga anche nel breve periodo”. La sicurezza insomma richiede un percorso lungo, ma necessario, che mette al centro un modello di gestione del rischio in grado di analizzare esigenze di business, identificare i processi da tutelare, quantificare il valore delle informazioni, ratificare un piano di continuità operativa in linea con le aspettative e necessità aziendali.