Il crescente ricorso allo smart working e ai dispositivi personali per le attività lavorative innescati dalla pandemia, ha fatto emergere una serie di criticità sul fronte cybersecurity con progressivo aumento delle attività malevole a causa delle “falle” nei sistemi aziendali.
Come si sta evolvendo lo scenario italiano? “La pandemia ci ha catapultati in un nuovo modo di vivere il lavoro. Per le aziende che avevano già nel DNA lo smart working è stato piuttosto semplice collocare il personale “a casa”, ma per molte altre è stato un vero shock”, racconta a CorCom Matteo Sgalaberni, Direttore Tecnico di Ehiweb, “brand” della bolognese Ehinet specializzato in connessioni in fibra e Adsl per privati e aziende.
“Tante attività, piccole e grandi, hanno dovuto mettere in piedi rapidamente delle Vpn per rendere fruibili i servizi aziendali ai collaboratori collegati dall’esterno – continua il manager – Alcune aziende hanno sfruttato tecnologie come il cloud, mentre altre si sono inventate sistemi economici ma poco professionali, come i computer dell’ufficio accesi per far collegare il personale tramite Anydesk o Teamviewer, programmi nati per l’assistenza remota”.
Sgalaberni, come fare a mettere in sicurezza le comunicazioni aziendali, in particolare quelle delle Pmi, in tempi rapidi?
Le necessità imposte dal Covid-19 hanno aumentato drasticamente la superficie di attacco delle aziende: tecnologie nuove, collaboratori ignari delle implicazioni nell’uso di questi sistemi e obbligati a gestirli senza una formazione adeguata. Ci troviamo ora con tantissime aziende che hanno esposto i loro dati, le loro reti, tramite sistemi improvvisati e realizzati in fretta. Il rischio è che queste infrastrutture tecnologiche non siano adeguatamente presidiate e manutenute. La cosa peggiore che si possa fare è proprio farsi installare un sistema di sicurezza, firewall o Vpn, e poi abbandonarlo a sé stesso. Il tema tecnologico è chiaramente perfettibile ma la sicurezza si fa anche con il fattore umano, purtroppo l’anello più debole della catena. Coinvolgere, formare e rendere consapevoli i propri collaboratori sul modo corretto di trattare le informazioni sensibili, le proprie credenziali e i propri device è un passo cruciale per ridurre le probabilità di un databreach. Noi ISP siamo in prima linea nella protezione delle informazioni, abbiamo moltissimi indicatori che individuano la presenza di un’anomalia sulla rete del cliente, ad esempio l’aumento del numero di e-mail, i tentativi di accesso non autorizzati su determinati sistemi, fino ad arrivare a veri e propri allarmi in cui rileviamo attacchi in corso. Molte PMI non hanno ancora una figura dedicata a questi temi, mentre i tempi di reazione sono fondamentali per ridurre la gravità dell’impatto o evitarlo del tutto.
Una strategia di cybersecurity necessita di investimenti ma spesso le aziende, soprattutto quello più piccole, non hanno risorse a sufficienza: la questione costi resta un ostacolo sul cammino?
L’alibi del budget è sempre il più quotato. La sicurezza, soprattutto in una Pmi dove le risorse da dedicare sono poche o dove non sono mai stati programmati budget, va intesa come un processo con cui bisogna prendere confidenza. Piccoli passi continui verso la corretta informazione e la consapevolezza dei rischi che si corrono e di cosa va fatto per ridurli o eliminarli. Lavorare sulla cultura della sicurezza è l’inizio di un percorso virtuoso. Buttare denaro in firewall o dispositivi costosissimi che promettono la soluzione a tutti i problemi, è la cosa più sbagliata. Se un software è sviluppato alla base con gravi falle di sicurezza, metterci davanti un firewall è solo un palliativo, quasi mai efficace. Al contrario, sviluppare con criterio è un concetto lungimirante. Se il software è stato prodotto “in casa” abbiamo un controllo totale della qualità delle pratiche di sviluppo, quindi si avrà sempre piena cognizione dei livelli di sicurezza. Se invece lo sviluppo avviene all’esterno, è sempre buona norma adottare misure di sicurezza aggiuntive e specifiche. Quando i sistemi sono gestiti con costanza da persone competenti, una grande parte del lavoro è fatto. Fare le cose bene costa meno che farle male, per questo è importante rivolgersi all’interlocutore giusto, al partner tecnologico capace di istruire e proteggere. Fortunatamente con l’avvento del Gdpr sono stati messi al centro dell’attenzione questi temi, per esempio scegliere un bravo DPO aiuta.
La progettazione della cybersecurity necessita di competenze di alto profilo: sono difficili da reperire sul mercato italiano? Come state affrontando la questione in Ehiweb?
Affidarsi alle persone giuste è la chiave per ottenere buoni risultati. In Italia siamo molto fortunati, abbiamo tantissime aziende e molti professionisti, anche rinomati sul piano internazionale. Assumere un esperto di cybersecurity può essere una soluzione, l’alternativa più frequente è affidarsi a professionisti o aziende specializzate in questo settore, con capacità organizzative e di conoscenza molto profonde. Viviamo in un mondo complesso: le tecnologie di infrastrutture sono talmente tante che è difficile conoscerle tutte e bene. Per ogni caso va scelta la soluzione più efficace per raggiungere un determinato obiettivo. Ehiweb ha scelto di avere dentro l’azienda persone altamente qualificate sulla sicurezza, sulla parte applicativa e sull’infrastruttura. Inoltre consultiamo regolarmente professionisti esterni e aziende che completano la nostra formazione e ci affiancano nell’implementazione di nuovi sistemi e processi. Usiamo quindi un mix di competenze che hanno tutte lo stesso fine: garantire all’azienda, ai clienti e ai fornitori il massimo livello di sicurezza.
Avete portato avanti un progetto con Open Fiber: in cosa consiste?
Il progetto Open Fiber è stato qualcosa di molto sfidante per tutto il team Ehiweb, dai commerciali che si sono trovati a gestire nuovi servizi ai tecnici che hanno dovuto studiare e implementare nuove tecnologie, alcune delle quali ancora inesplorate. Abbiamo fatto tante cose, per esempio: ci siamo collegati con il Mix per aumentare la portata di banda complessiva e realizzare l’interconnessione con Open Fiber. Open Fiber inoltre fornisce un sistema, realizzato egregiamente, per inviare in forma massiva e puntuale gli ordini di attivazione tramite Api. Dopo un lavoro durato sei mesi abbiamo completato l’integrazione dei nostri sistemi con i loro e adesso inviamo a Open Fiber decine di ordini in qualche millisecondo. Questa integrazione ha ridotto drasticamente il tempo impiegato dai nostri operatori, ha generato vantaggi per i clienti e una maggior efficienza nella procedura di attivazione di una connessione. L’accordo con Open Fiber, inoltre, ci dà la possibilità di fornire ai clienti più esigenti le linee in fibra dedicata (nome in codice Bea). Un servizio esclusivo, riservato alle aziende che hanno bisogno di una linea da 1Gbit simmetrico con garanzie (Sla) e prestazioni definite contrattualmente. Queste nuove opportunità che arrivano in un settore sempre in fermento come quello delle telecomunicazioni, ci hanno dato grandi stimoli e nuove motivazioni: dal 2004 seguiamo da vicino l’espansione della banda larga ultralarga in Italia e vogliamo continuare ad avere un ruolo da protagonisti anche in futuro.
