“Quando i Bit Feriscono Più della Spada”: il Rischio Informatico in Azienda

Da rischio It a rischio strategico

“La frequenza, la scala ed il grado di sofisticazione degli attacchi informatici negli ultimi anni mostrano un panorama sempre più complesso per motivazioni, strategie, varietà di attaccanti, settori e dipartimenti colpiti”, si rileva nel report. Generalmente i rischi informatici possono essere suddivisi in due macro categorie: minaccia specifica e minaccia al sistema aziendale. Nel primo caso si fa riferimento a un unico evento o episodio circoscritto, generato da un singolo individuo. Come, ad esempio, nel caso di furto o danneggiamento d’informazioni dei sistemi corporate condotto da un dipendente non soddisfatto o con intenzioni malevole, i cosiddetti insider. Ma un’organizzazione può anche essere vittima di un attacco multilaterale, in cui ad essere colpiti sono diversi settori. Gli impatti negativi, in questo caso, sono dirompenti perché calcolati in una dimensione ancora maggiore rispetto ad una minaccia singola: sia per ragioni puramente economiche, sia a causa di eventuali sanzioni o danni reputazionali. Da segnalare anche l’altra faccia dell’innovazione direttamente connessa al fattore umano.

Approcciarsi alle nuove frontiere tecnologiche, ad esempio, può condurre i dipendenti di un’azienda ad utilizzare strumenti non sempre sviluppati secondo principi di sicurezza. La crescente commistione tra vita pubblica e vita privata degli utenti e la consumerization delle tecnologie esistenti possono, infatti, creare  punti di vulnerabilità per la salvaguardia delle informazioni. Un’azienda, quindi, può essere minacciata senza nemmeno essere a conoscenza del pericolo a cui i propri componenti, a volte intere business unit, la sottopongono. In sintesi, gli attacchi informatici possono essere particolarmente impattanti su diversi aspetti del business: danneggiamento o perdita di informazioni di valore, interruzione dei processi produttivi, pagamento di eventuali sanzioni nel caso d’interruzione del servizio, danno reputazionale e ricadute negative sul valore percepito del brand aziendale, diminuzione della base clienti, calo del valore azionario sul mercato per le aziende quotate. E’ in questo contesto che l’utilizzo della tecnologia quale elemento strategico per il business trasforma il rischio informatico in rischio strategico.