Sicurezza come il riso: non dimenticate la dose per la pentola

di Umberto Rapetto (Generale Gdf – già comandante Nucleo Speciale Frodi Telematiche) 

Un sondaggio SWG commissionato da Confesercenti direbbe che in Italia nel 2023 le piccole e medie imprese sono pronte ad investire 470 milioni di euro in cybersicurezza. Qualcuno sarebbe subito tentato di lasciarsi andare ad entusiastiche esclamazioni che tradirebbero la giustificabile incompetenza in materia ma al contempo farebbero emergere pericolose lacune aritmetiche. Il tizio che maldestramente si è compiaciuto della stima in apertura di chiacchierata si prepari a una cocente lezione, ma – pur addolorato per le bacchettate – faccia tesoro delle considerazioni delle prossime righe.

La cifra indicata nell’incipit è una stima indicativa e ricorda le promesse di essere buoni e ubbidienti che i figlioli fanno ai genitori al ciclico compiersi di una marachella. L’attendibilità, è facile a capirsi, è estremamente relativa perché condizionata dalla reale sensibilità al problema, dalla effettiva intenzione di mettere mano al portafogli, dal trovare al suo interno la somma necessaria, dal non essere disturbato da sopravvenienti priorità e così a seguire in una affannosa corsa a ostacoli.

Prendiamo per vera la cifra e fughiamo ogni dubbio in ordine all’entità delle risorse finanziarie sul tavolo dei buoni propositi.

La prima considerazione da fare riguarda la corretta identificazione degli attori sul palcoscenico. La definizione europea di Pmi porta ad includere le aziende italiane che impiegano da 10 a 249 addetti e che vantino un giro di affari compreso tra due e 50 milioni di euro. Scorrendo il Rapporto Regionale PMI 2022 pubblicato da Confindustria si apprende che stiamo parlando di 160mila imprese. Ci armiamo di carta e penna e proviamo a immaginare la sorte di quei 470 milioni di euro, così da trovare – in maniera molto molto approssimativa – la spesa media di ogni singola società. 470.000.000 euro diviso 160.000 porta al risultato di 2.937 euro per ogni realtà. Se siamo in un contesto da 10 dipendenti stiamo parlando di meno di 300 euro per ciascun lavoratore, ma se facciamo riferimento a entità da 200 addetti la soglia di spesa precipita a circa 15 euro pro capite.

Il conteggio ovviamente dimentica che la sicurezza è come il riso da cucinare. Quando si conteggiano i cucchiai o le tazzine utilizzate per fare le porzioni, ci si deve ricordare che è necessario metter in conto una dose “anche per la pentola”. Infatti non si tratta solo di computare le stazioni di lavoro o i dispositivi elettronici dei singoli, ma occorre considerare anche i server e gli apparati che sono condivisi o semplicemente costituiscono l’infrastruttura tecnologica su cui poggia il lavoro di tutti.

Prescindendo dalla insussistente interferenza meteorologica delle statistiche o dei sondaggi, che notoriamente lasciano il tempo che trovano, vale la pena tralasciare il “quanto” e concentrarsi piuttosto sul “come” verranno spesi i soldi rispettivamente disponibili dalle Pmi a breve e medio termine.

L’evidentemente ridotta disponibilità finanziaria non lascia spazio a voli pindarici che lascino sognare chissà quale iniziativa. Il mood deve essere quello della parsimonia o, ancor più, quello della oculatezza. Gli investimenti (non il semplice spendere) ci devono essere ed è necessario che si rivelino fruttuosi. È quindi indispensabile fare leva sulla “capacità di committenza”, ossia sull’abilità di individuare cosa serve e chi lo può fornire. Ecco il tallone d’Achille ed ecco le torme di famelici avvoltoi che volteggiano rapaci nel cielo dell’imprenditoria impreparata a questo genere di cose. Il volersi togliere di torno il problema, possibilmente in fretta, è il peggior consigliere.

Con pochi soldi – si sa – si fanno poche cose, ma una buona scelta può ottimizzare l’impegno da sostenere. È bene privilegiare la sensibilizzazione e la formazione del personale, perché spaventa più un utente distratto o svogliato di un agguerrito hacker. A volte basta un improvvido clic su un link contenuto in una e-mail, oppure su un allegato, per scatenare il finimondo. Le associazioni di categoria o di comparto dovrebbero promuovere cicli didattici di facile fruizione, ammortizzando un onere che sarebbe difficilmente sostenibile per le singole imprese. Mentre pullulano tante iniziative coreografiche a supporto della commercializzazione di prodotti e servizi “cyber”, manca una scuola che seriamente garantisca l’apprendimento dei fondamenti per orientarsi su questo fronte, costituisca il crocevia di esperienze e competenze maturate sul campo, fornisca opportunità di confronto empirico e non teorico tra frequentatori provenienti da realtà differenti.

La seconda mossa è la verifica dell’idoneità dei software di base: un sistema operativo non aggiornato è pericolosissimo e, nonostante lo sappiano tutti, nessuno provvede… Poi ci sono i firewall, gli intrusion detection system, gli antivirus e mille altre diavolerie che devono essere installate e governate con diligenza. Si potrebbe continuare ma fermiamoci qui. L’omino coi baffi, quello della nota caffettiera, diceva «Sembra facile…».