Security Spotlight: la paura degli incidenti informatici è giustificata o no?

Rubrica di Dennie Spreeuwenberg, esperto in consapevolezza sulla sicurezza e CEO di Awaretrain.

Nel mondo della sicurezza informatica rilevo spesso lo stesso atteggiamento: le organizzazioni vengono a conoscenza di attacchi informatici di vasta portata e subito si chiedono: “Saremo i prossimi?”

Chiariamo subito: questo tipo di consapevolezza è un fattore positivo. È molto meglio stare in allerta che sottovalutare le minacce digitali o fingere che non esistano. Ma troppo spesso la paura diventa il fulcro di tutte le discussioni in ambito di sicurezza. Ed è un fatto comprensibile: un titolo shoccante resta impresso nella mente ben più di un promemoria ben scritto sulle policy da applicare.

Ciò nonostante, non ritengo che gli atteggiamenti catastrofisti siano utili alle organizzazioni per progredire.

So che sembra facile detto da uno che dirige un’azienda che si occupa di sicurezza informatica, ma è proprio per questo che ritengo che sia il giunto il momento di cambiare atteggiamento nel settore: meno paura, più decisione. Perché diciamocelo: il panico non ha mai reso nessuno più resiliente.



Non tutte le minacce costituiscono un rischio per tutti

Per molte organizzazioni la difficoltà principale è distinguere fra rischi temuti e rischi reali. È proprio qui che entra in gioco una valutazione dei rischi efficace: uno strumento che trasforma minacce astratte in un impatto tangibile sull’organizzazione. Tale valutazione parte da alcune domande fondamentali:

  • Da dove viene la minaccia?
  • È rilevante per il proprio settore, le dimensioni aziendali e il tipo di dati utilizzati?
  • Quali sarebbero le conseguenze se si verificasse un attacco?
  • Quali strategie di mitigazione possono ridurre o contenere il rischio?
  • Quali rischi si è disposti a correre?

Prendiamo come esempio i ransomware. A causa del numero consistente di notizie relative a incidenti e violazioni, è facile percepire l’attacco come qualcosa di inevitabile. Ma il fatto che una minaccia sia molto diffusa non significa necessariamente che la propria organizzazione sarà la prossima vittima.

E tuttavia, questo non è un buon motivo per dormire sugli allori. È necessario intraprendere passi proattivi e ragionevoli per proteggere la propria organizzazione, come ad esempio:

  • Effettuare backup regolari e testarne l’efficacia
  • Formare i dipendenti in modo che siano in grado di riconoscere le situazioni sospette
  • Disporre di un piano di risposta nel caso in cui gli scenari peggiori si concretizzino

Dalla paura alla consapevolezza

Vi sentite sopraffatti da rischi e minacce informatiche e dalla pressione di dover creare un piano di sicurezza informatica a prova di bomba? Iniziate identificando i processi fondamentali dell’organizzazione. Quali sono i sistemi di importanza vitale? Cosa accadrebbe se andassero offline, diventasse impossibile accedervi o venissero manomessi?

Non c’è un’unica strategia di sicurezza informatica che va bene per tutti. È necessario un approccio realizzato su misura.

Per una panetteria i processi fondamentali sono produrre e vendere il pane. Servono gli ingredienti, dei forni funzionanti e – altrettanto fondamentale – un sistema di cassa funzionante. Un incidente informatico che colpisce i fornitori o un blackout locale potrebbero avere un impatto significativo sugli affari.

Per una grande azienda informatica le priorità sono diverse: tempo di funzionamento dei sistemi, disponibilità dei dati e sicurezza dei dati dei clienti. In questo caso il mancato aggiornamento di una patch o la disattenzione di un dipendente possono costituire gravi vulnerabilità.

Una preoccupazione in costante crescita è il rischio legato alle terze parti. Se uno dei fornitori dell’organizzazione subisce una violazione, ciò può avere un impatto diretto sugli affari. Ai sensi dell’NIS2 è possibile richiedere ai fornitori di attenersi a standard di sicurezza più rigorosi, ma al di fuori di esso si continua a fare affidamento sulle misure messe in atto da loro. Pertanto, è bene controllare accuratamente la catena di approvvigionamento, in modo da poter prendere decisioni consapevoli basate sui rischi effettivi.

Focalizzarsi su ciò che conta davvero

Non sono solo rischi e minacce a essere difficili da distinguere e identificare: anche il gran numero di strumenti e soluzioni disponibili può creare notevole confusione. Provate già solo a scegliere un firewall: molti di essi offrono le stesse funzionalità, tutte espresse in gergo tecnico arduo da decifrare.

Come si fa a capire qual è quello più adatto per la propria azienda?

Per questo motivo consiglio alle organizzazioni che non dispongono di un addetto alla sicurezza interno di rivolgersi a un fornitore di fiducia che possa guidarle nella valutazione degli aspetti fondamentali da prendere in considerazione, spiegare le diverse filosofie che supportano le varie soluzioni e aiutare a mettere in atto le misure effettivamente più adatte allo specifico contesto.

 La sicurezza informatica è un processo continuo, non un progetto a termine

Per le aziende di piccole dimensioni la pianificazione della sicurezza informatica può essere relativamente semplice. Ma per organizzazioni di maggiori dimensioni o che dispongono di grandi quantitativi di dati la questione è più complessa, ma al contempo ancora più essenziale.

 A prescindere dalle dimensioni dell’azienda, tuttavia, la sicurezza informatica non è un aspetto che si sistema una volta per tutte. La valutazione dei rischi deve essere effettuata con regolarità. Nuovi clienti, nuovi fornitori, l’utilizzo di tecnologie emergenti o le modifiche ai requisiti di conformità sono tutte buone ragioni per valutare nuovamente l’esposizione ai rischi e le strategie di mitigazione del rischio.

C’è un altro fenomeno che osservo spesso. A volte le organizzazioni pensano “A noi non succederà” o, peggio ancora: “Non saremo mai sicuri al 100%, quindi che importa?”

Questi atteggiamenti costituiscono di per sé un rischio.

Ovviamente la sicurezza assoluta non esiste, ma non è questo il punto. Lo scopo è ridurre rischi elevati con azioni piccole ma efficaci. Di fatto, con solo il 20% di sforzi si può ottenere l’80% dei risultati desiderati.

 Iniziate con le seguenti misure di sicurezza:

  • Abilitazione dell’autenticazione a più fattori (MFA)
  • Formazione del personale alla consapevolezza sulla sicurezza
  • Valutazione delle pratiche di sicurezza informatica dei fornitori
  • Effettuare backup regolari e testarne l’efficacia
  • Revisione regulare dei diritti di accesso

Anche noi di Awaretrain seguiamo un processo di adattamento e miglioramento continuo. E ritengo mia responsabilità aiutare le organizzazioni a orientarsi fra campagne pubblicitarie appariscenti e policy incomprensibili.

Abbandoniamo gli atteggiamenti catastrofisti e iniziamo a spiegare, ascoltare e riflettere. E, cosa ancora più importante: creiamo organizzazioni resilienti in grado di comprendere i propri rischi digitali basandosi non sulla paura, bensì sull’effettiva conoscenza della situazione.

Foto di Dennie Spreeuwenberg, CEO di Awaretrain con 20 anni di esperienza nella security awareness.

Dennie Spreeuwenberg

Dennie Spreeuwenberg, CEO di Awaretrain, è un esperto di sicurezza informatica dal 2004. Con oltre 20 anni di esperienza, è appassionato di sicurezza delle informazioni e condivide volentieri le sue conoscenze e intuizioni sulle ultime tendenze e sviluppi del settore.

LinkedIn

Ontdek meer

News e blog

4 dicembre 2025

Webinar: Simulare attacchi di phishing tramite QR code e USB con Awaretrain

News e blog

24 novembre 2025

5 consigli per iniziare con il piede giusto con la Cyber Security Awareness

News e blog

1 ottobre 2025

Cybersecurity Awareness Month 2025
Archivio del blog

Provate gratuitamente Awaretrain per 28 giorni

Account di prima
70+

Moduli di formazione

1.000+

Clienti in tutto il mondo

1.000.000+

Dipendenti già sottoposti a formazione

Unitevi a noi e costruite una Cyber Security Awareness duratura con Awaretrain.

Certificazioni

Scoprire di più

Il nostro approccio
Piattaforma di Cyber Security Awareness
Formazione GDPR & Privacy
Simulazione di phishing
Inizia la prova gratuita
Prezzi e piani
Valutazione della cultura
Poster gratuiti
Diventa partner

Contattaci

+39 02 8974 4070
info@awaretrain.it

Awareness on track

© Awaretrain | Tutti i diritti riservati
Termini e condizioni
Informativa sulla privacy