«Le conseguenze della pandemia hanno imposto un’accelerazione allo sviluppo digitale del nostro Paese ed è un’opportunità che non va sprecata. I rischi, anche quelli cyber, si individuano e si gestiscono», dice il numero uno dell’Associazione nazionale risk manager e responsabili assicurazioni aziendali. E dà qualche suggerimento alle aziende…
«Considerando che la modalità da remoto resterà ancora per lungo tempo, se non definitivamente, la modalità prevalente di lavoro in molti settori, è necessario che ciascuna azienda svolga un assessment ad hoc dei nuovi rischi connessi all’uso della rete e dei dispositivi, per poi predisporre un programma di gestione al fine di pianificare e governare le azioni volte a ridurre gli impatti con contromisure efficienti a breve e lungo termine». Il monito arriva da Alessandro De Felice, presidente dell’Anra, l’Associazione nazionale risk manager e responsabili assicurazioni aziendali.
L’analisi sul cyber risk fatta da De Felice trae spunto dalla transizione «repentina» di molte aziende al remote working e l’esigenza «improvvisa» di gestire gran parte delle attività a distanza, a seguito dell’emergenza Covid. Questo, sostiene De Felice, ha spostato di fatto «in modo massiccio» operazioni e processi in ambito digitale e «fatto emergere nuove vulnerabilità in un brevissimo lasso di tempo. Si tratta di cambiamenti che avrebbero richiesto anni per essere implementati correttamente all’interno delle aziende, ma che hanno fatto irruzione senza possibilità di scelta e molto spesso senza un adeguato piano operativo, aprendo di conseguenza nuovi scenari di rischio».
De Felice parla di governare quelle azioni volte a ridurre gli impatti con contromisure efficienti. E le elenca: «i rischi di non compliance; rischi di danno reputazionale; rischi di interruzioni all’operatività; costi correlati al ripristino dei sistemi; rischio di controversie legali, ove fossero coinvolti dati sensibili».
Ecco, per il presidente dell’Anra, cosa possono fare le aziende: formare e sensibilizzare dipendenti e utenti («prima di autorizzare connessioni remote alla rete aziendale, i dipendenti devono ricevere adeguate informazioni sulle campagne di phishing e sulle direttive in materia di sicurezza. Inoltre, devono conoscere tutti i processi e le procedure aziendali per denunciare un eventuale incidente»), connessioni sicure («per accedere alle reti aziendali, utilizzare unicamente un accesso remoto sicuro; ove possibile, utilizzare una rete privata virtuale – Vpn – o un altro meccanismo di connessione criptata»), autenticazione multi fattore («le Vpn devono essere configurate con un’autenticazione multifattore per aggiungere un ulteriore livello di protezione e garantire che soltanto le persone autorizzate accedano alla rete aziendale»), protezione perimetrale («gli uffici It devono assicurare che i firewall siano opportunamente configurati e monitorare il logging dei firewall per individuare tentativi di connessione o connessioni non riuscite da parte di indirizzi Internet Protocol non autorizzati o sospetti»), sicurezza e conformità del cloud («le aziende che utilizzano servizi di cloud devono garantire che le configurazioni di sicurezza siano opportunamente rafforzate e monitorate»), più monitoraggio e diligence («se vi sono regioni geografiche o paesi a cui i dipendenti non hanno motivo di collegarsi in remoto dalla rete aziendale, l’ufficio It deve proattivamente mettere in ‘black list’ le rispettive gamme Ip, onde impedire la connessione da remoto alle reti aziendali»).
De Felice conclude così la sua analisi: «Le conseguenze della pandemia hanno imposto un’accelerazione allo sviluppo digitale del nostro Paese, forzando anche le aziende più restie ad adottare le nuove tecnologie, ed è un’opportunità che non va sprecata. I rischi, anche quelli cyber, si individuano, si gestiscono. Il rischio più grande resta quello di non saper cogliere l’opportunità». (fs)
© RIPRODUZIONE RISERVATA
