CyberSecurity: fallimenti e successi dell’imprenditoria italiana

Indice

Oggi parliamo di cybersecurity ed imprenditoria, un settore per il quale il nostro Paese è famoso. L’Italia, infatti, è il Paese delle piccole e medie imprese (PMI) anche se, non sempre, il panorama imprenditoriale rispecchia adeguatamente le evoluzioni tecnologiche. Cerchiamo di capire perchè.

CyberSecurity: alla ricerca del parametro impossibile

È costante la ricerca di parametri numerici, calcolabili, con i quali costruire interi progetti imprenditoriali e la ricerca di questi parametri si rivela spesso una El Dorado. Gli imprenditori non sempre sono al corrente delle evoluzioni tecnologiche, pur volendo investire nel settore e quindi cercano elementi che possano “controllare” e sui quali basare i progetti. La CyberSecurity da sempre rappresenta la sfida per eccellenza: si può parametrizzare la sicurezza? In apparenza sì ma, come abbiamo visto più volte, è una mezza verità. La sicurezza informatica è composta essenzialmente da due grandi aspetti:

  • I parametri tecnici: misurabili, oggettivamente riscontrabili ed isolabili dal resto del contesto. Sono la parte più facilmente individuabile.
  • I parametri organici: difficilmente misurabili, soggettivi a seconda del contesto e difficilmente isolabili perchè esistenti in quanto parte dell’ecosistema aziendale.

PMI

I parametri tecnici

Quando un’azienda subisce un attacco informatico, i parametri tecnici salgono alle stelle. Router, switch, client, server, tutti gli apparati subiscono anomalie rispetto al normale comportamento e tutto può essere misurato. Velocità della connessione intranet, pacchetti in/out sulla connessione WAN, comportamento dei client, dei server. Tutto quanto si scosta dal “normale” comportamento permettendo a tecnici di ogni tipo di agire per ripristinare la situazione di normalità.

I parametri organici

Quando un’azienda subisce un attacco informatico, il personale reagisce in modo imprevedibile. La dirigenza, ad esempio, si presenta poco reattiva convinta che il problema sia confinato solo al reparto tecnico. I dipendenti potrebbero completamente ignorare di essere la causa della minaccia e mantenere un comportamento non appropriato al ristabilirsi della sicurezza. I parametri organici, a dispetto di quelli tecnici, non sono facilmente misurabili perchè il comportamento umano è estremamente mutevole e difficilmente isolabile soprattutto in condizione di crisi.

Da dove nasce l’incomprensione?

L’incomprensione nasce dal tentativo di contenere e pianificare i costi della CyberSecurity, partendo dai costi infrastrutturali di gestione e manutenzione, arrivando ai costi del personale. Attraverso l’analisi dei costi si ritiene di attribuire un corretto valore alla parte aziendale riservata all’ICT. Il problema nasce esattamente su questo punto, perchè il valore dell’infrastruttura ICT non è rappresentato dall’hardware (o per lo meno, non solo da quello) ma è rappresentato dai dati gestiti che, singolarmente possiedono un valore e in gruppo possono possederne un altro. Ciò rende veramente complesso attribuire un valore economico alla CyberSecurity.

CyberSec

Calcolare il valore: CAPEX e OPEX

È possibile operare un calcolo circa la CyberSecurity basato su due fattori molto importanti: il CAPEX e l’OPEX.

Il Capex (da CAPital EXpenditure, cioè le spese in conto capitale) indica l’ammontare di flusso di cassa che una società impiega per acquistare, mantenere o implementare le proprie immobilizzazioni operative, come edifici, terreni, impianti o attrezzature. In generale si può parlare di spese in conto capitale quando il bene è stato appena acquistato oppure quando il flusso di cassa è stato impiegato al fine di estendere la vita utile di un bene esistente.Un livello basso di Capex è solitamente indice di investimenti insufficienti, una situazione che se protratta nel tempo potrebbe nuocere al posizionamento dell’azienda sul mercato, poiché potrebbe avere difficoltà ad affrontare con successo la concorrenza.

La spesa operativa od OpEx (dal termine inglese OPerating EXpenditure, ovvero spesa operativa) è il costo necessario per gestire un prodotto, un business od un sistema altrimenti detti costi di O&M (Operation and Maintenance) ovvero costi operativi e di gestione. La sua controparte, la spesa di capitale o capex (dall’inglese CAPital EXpenditure, ovvero spese per capitale), è il costo per sviluppare o fornire asset durevoli per il prodotto od il sistema. Per esempio, l’acquisto di una fotocopiatrice è da considerarsi CapEx, mentre il costo annuale per carta, toner, alimentazione e manutenzione rappresenta l’OpEx. Per sistemi più estesi come quelli di business, l’OpEx può anche includere il costo della manodopera e quelli dei siti, come l’affitto ed i relativi servizi.

[Fonte: Wikipedia]

Ridurre i costi aumentare l’efficienza

Benché in questo periodo storico gli investimenti di CyberSecurity stiano aumentando, dall’altro questo tende a complicare le infrastrutture attraverso rendendo più difficile la gestione. E l’OPEX? Subentra con la gestione delle risorse umane che, in caso di minaccia, devono intervenire quanto prima per gestire la crisi e mitigarla.

[…] le aziende che faticano a trovare migliori talenti per la sicurezza spendono in media tre volte di più per riprendersi da una violazione; una notevole spesa per il ripristino per le PMI si presenta sotto forma di un aumento dei salari del personale (in media $ 14.000) […] Una violazione rilevata quasi immediatamente costa alla PMI in media $ 28.000, arrivando fino a $ 105.000 se passa inosservata per più di una settimana. Secondo i dati effettivi, viene compromessa una media di 417 record, anche con il rilevamento istantaneo. Questa cifra sale a oltre 70.000 quando la violazione passa inosservata per più di una settimana.[Fonte: Kaspersky]

Il miglior modo per aumentare l’efficienza è valutare il Recovery Time Objective, di cui abbiamo parlato diverse volte, e per farlo è fondamentale pensare di essere fallibili e che l’attacco abbia avuto luogo e successo. Simulare l’interruzione parziale e totale dell’infrastruttura (o di parte di essa) e monitorare le procedure di ripristino.

Essere preparati prima che si verifichino problemi è sempre stato il piano migliore. Se l’azienda non trova o non può permettersi ulteriori talenti, può rivelarsi un’ottima idea semplificare il lavoro del personale esistente per massimizzarne le capacità. [Fonte: Kaspersky]

In definitiva non è conveniente effettuare strategie di ripristino particolarmente complesse: spesso è più conveniente economicamente “buttare giù il sistema” e ritirarlo su in modo sicuro. I tentativi di guarigione dalle infezioni, ad esempio, possono provocare perdite di tempo e mettere a rischio l’integrità dell’infrastruttura. Questo sta capitando con i recenti ransomware ed è per questo che è essenziale avere un’adeguata conoscenza dell’infrastruttura ICT sia in normale stato di operatività che in stato di malfunzionamento.

Riferimenti utili