A chi si rivolge
L’ENISA, l’ente per la cybersicurezza dell’Unione Europea, ha pubblicato il 28 giugno 2021 una ricerca sul campo per comprendere le principali esigenze e criticità delle piccole e medie aziende (PMI) in questo periodo di pandemia, per poter dare le indicazioni sulle misure da adottare e gli elementi a cui fare particolare attenzione.
Oltre l’85% delle
aziende interpellate per la ricerca ha dichiarato che i problemi di
sicurezza informatica subiti avrebbero un grave impatto negativo sulla
loro attività, mentre il 57% ha dichiarato che molto probabilmente
potrebbero arrivare alla chiusura in conseguenza a tali gravi incidenti.
[...] imperversa nelle PMI la falsa sicurezza che i controlli sulla sicurezza inclusi nei software e servizi IT che hanno acquistato saranno sufficienti e che non saranno necessari ulteriori controlli di sicurezza da parte loro, a meno che non siano imposti dalla normativa.
Le sfide che emergono per le PMI sono le seguenti:
- scarsa consapevolezza della sicurezza informatica tra il personale;
- protezione inadeguata delle informazioni “critiche”;
- mancanza di budget adeguati;
- mancanza di specialisti o capacità adeguate in materia di cybersicurezza;
- mancanza di
adeguate linee guida in materia di cybersicurezza specifiche per le PMI;
Riferimenti:
CyberSecurity360 -- Misure di sicurezza per le PMI: le nuove raccomandazioni dell’ENISA
ENISA -- Phishing most common Cyber Incident faced by SMEs
Il drammatico aumento di attacchi ransomware come WannaCry e Petya / NotPetya significa che nessuno è immune dagli attacchi. Inoltre, la crescente connessione degli ecosistemi aziendali digitali espande ed estende i rischi aziendali, quindi anche se la tua organizzazione potrebbe non essere un obiettivo, i tuoi partner potrebbero esserlo.
Potrebbe essere così se la tua organizzazione non avesse clienti, dipendenti, collaboratori, proprietà intellettuale, processi aziendali e azionisti o parti interessate, ma ciò significherebbe anche che non c’è alcuna attività.
In teoria, questo approccio tattico potrebbe funzionare a breve termine, ma come approccio a lungo termine, ci sarà un'enfasi eccessiva su strumenti e tattiche e non abbastanza su persone e processi. Ingegneri, architetti e amministratori hanno competenze e responsabilità specifiche per la gestione dei risultati tecnici.
In pratica, è necessario un ruolo dedicato e focalizzato per guidare il programma di Sicurezza delle Informazioni e garantire nel tempo il passaggio a un approccio più strategico, che deve essere compreso e sostenuto dalla Direzione aziendale.
Non essere regolamentato non obbliga un'organizzazione ad inserire nell’organico la posizione di CISO: VERO! Tuttavia, ciò non significa che non abbia rischi da gestire come parte del raggiungimento dei suoi obiettivi di business.
Avere un leader del programma di Sicurezza delle Informazioni con la governance e la visione strategica che apporta, migliora la Sicurezza e la difendibilità in caso di incidenti.