Il tema della cyber security, all’interno del PNRR, viene principalmente associato alla Pubblica Amministrazione, ma sono stati stanziati specifici fondi che interessano le aziende private. In un momento in cui il rischio di attacchi cyber è cresciuto notevolmente, è importante investire non solo su nuove strategie di cyber security ma soprattutto su piani formativi che aiutino i dipendenti ad accrescere il livello di consapevolezza sulle principali minacce cyber. Vediamo quali sono le aree di interesse degli investimenti e su quali le aziende devono puntare.

PNRR: i fondi per la Cyber Security

Benché la pandemia sia stata una delle sfide più difficili degli ultimi anni, evidenziando lacune e debolezze di tutti gli Stati colpiti, come ogni crisi ha rappresentato una grande opportunità di ripartenza, di elaborazione di nuove strategie e di definizione di nuovi equilibri.
In questo scenario ha preso forma il Piano Nazionale di Ripresa e Resilienza (PNRR), documento creato dal Governo italiano per mostrare come intende utilizzare i Fondi Europei del Next Generation EU stanziati dall’Unione Europea per supportare gli Stati membri nella ripresa post-Covid.

I settori individuati dal PNRR, verso i quali dovranno essere indirizzati gli investimenti, sono in linea con le sei missioni definite dal Next Generation EU:

• Digitalizzazione, innovazione, competitività e cultura
• Rivoluzione verde e transizione ecologica
• Infrastrutture per una mobilità sostenibile
• Istruzione e ricerca
• Inclusione e coesione
• Salute

Una parte consistente dei fondi (40,32 miliardi dei 191,5 miliardi di euro*) sarà destinata all’area “Digitalizzazione, innovazione, competitività e cultura”. Nello specifico, Il PNRR prevede, nella Missione 1, investimenti per 623 milioni di euro in presidi e competenze di cybersecurity nella PA, e nella Missione 4 ulteriori fondi per la ricerca e la creazione di partenariati su temi innovativi, tra cui la sicurezza informatica. La digitalizzazione e l’innovazione, se da un lato sono motori per il successo e la crescita delle aziende, dall’altro implicano una maggiore esposizione alle minacce di attacchi informatici.

In questo scenario è fondamentale che le organizzazioni abbiano come obiettivo quello di accrescere la consapevolezza dei dipendenti sui rischi informatici attraverso anche dei piani di formazione sulle tematiche di cybersecurity. Il PNRR rende disponibili i finanziamenti da usare per alzare il livello della cyber security aziendale, resa ancora più vulnerabile dall’evoluzione delle modalità di lavoro. Le aziende private possono accedere, secondo quanto stabilito nell’allegato B del Piano Transizione 4.0, ai fondi del PNRR ottenuti come credito d’imposta, per beneficiare dei servizi di cyber security. Il credito d’imposta, che viene restituito in tre quote annuali, prevede di poter recuperare il 20% dell’investimento in beni immateriali se questo viene effettuato entro il 2023, poi la percentuale scende al 15% nel 2024 e al 10% nel 2025. Un’occasione che tutte le aziende devono cogliere per analizzare a fondo il livello di protezione esistente in azienda, rafforzando le strategie di cybersecurity in atto o cambiando quelle che finora non sono state adeguate alla struttura dell’organizzazione. Il risultato sarà quello di creare valore per l’azienda assicurando la continuità del business.

Cyber Security Awareness: investire sul “Firewall umano”

Alfa Group, che accompagna le organizzazioni nel processo di Digital Transformation supportandone la resilienza attraverso la governance del rischio cyber, la prevenzione e il contrasto di minacce informatiche e frodi, e la compliance, mette a disposizione dei propri Clienti un portfolio di prodotti e servizi di cybersecurity che spaziano dal Fraud management al Vulnerability & Cyber Threat Management e alla Cyber Intelligence per fornire massima visibilità sulle possibili minacce ed ottenere informazioni utili alla prevenzione e al contrasto degli attacchi.

La maggior parte dei reati informatici avviene a causa della vulnerabilità indotta dal fattore umano. Spesso i dipendenti, per distrazione o per mancanza di competenze e metodologie che li rendano capaci di individuare e prevenire possibili attacchi, espongono le aziende al rischio di esfiltrazione dati o, nel peggiore dei casi, ad un blocco dei sistemi a causa di attacchi ransomware.
È per questo che la formazione, la sensibilizzazione dei dipendenti sulle possibili minacce e sui comportamenti da tenere affinché l’azienda non venga esposta a rischi, diventano asset fondamentali da affiancare a strumenti e strategie di cybersecurity. Per fare in modo che i dipendenti diventino un efficiente “firewall umano”, Alfa Group mette a disposizione delle aziende delle soluzioni per aumentare la consapevolezza sulla sicurezza informatica e sulla protezione delle informazioni rivolte a dipendenti e ai dirigenti a seconda dei loro specifici ruoli e responsabilità.
Affinché qualsiasi firewall sia realmente efficace nella protezione dalle minacce, in continuo mutamento, è necessario mantenerlo costantemente aggiornato. Quello “umano” non fa eccezione: la formazione deve essere costante, continuativa e seguire l’evoluzione dello scenario, così da fornire alle persone tutti gli strumenti più aggiornati per difendere sé stessi e l’azienda dagli attacchi Cyber. È quindi importante che l’azienda investa su un piano di formazione prolungato nel tempo, piuttosto che su singole attività periodiche.
Il piano di formazione deve essere finalizzato a:

• Valutare periodicamente, attraverso simulazioni, il livello di conoscenza delle vulnerabilità e dei possibili attacchi;
• formare i dipendenti e i responsabili attraverso moduli specifici di breve durata con gamification per una formazione interattiva;
  Inoltre, tramite delle simulazioni interattive, è possibile fare in modo che i Manager si concentrino sulle potenziali conseguenze degli attacchi informatici aiutandoli a comprendere il mondo della cyber security e l’importanza della collaborazione tra i dipartimenti aziendali per il successo nella risposta ai cyber attack e per le strategie di cyber security in generale. Le simulazioni sono disponibili in diversi scenari per tutti i settori verticali e si configurano come giochi in presenza (con carte e tabellone) o in una realtà virtuale in cui i partecipanti vedono le conseguenze delle loro decisioni IT non solo astrattamente, ma in una grafica 3D altamente realistica;
• rafforzare la formazione attraverso materiali che aumentino le migliori pratiche e i comportamenti positivi;
• misurare periodicamente il grado di apprendimento raggiunto dal personale per poter individuare quali corsi siano da riproporre garantendo un livello di informazione in linea con le aspettative, con le policy e procedure definite dall’organizzazione.

Non bisogna dimenticare che spesso nel mirino dei cyber criminali ci sono i membri del management che costituiscono la parte più vulnerabile dell’organizzazione, poiché utilizzano dispositivi diversi nei quali vengono custoditi molti dati, per lo più sensibili o personali. Per questo, un programma di security awareness, affinché sia efficace, deve coinvolgere tutti i livelli di un’organizzazione e tutti devono avere ben chiare quali sono le conseguenze economiche, e non solo, che un attacco informatico può causare.

*Fonte MISE