Oltre mezzo secolo è passato dall’ideazione di quello che viene oggi considerato come il primo software di cybersecurity, Reaper: correva il 1972 e venne creato dall’ingegnere Raymond Samuel Tomlinson (peraltro inventore della @ nelle e-mail) per annullare gli effetti del progenitore involontario dei malware, un programma sviluppato per dimostrare la possibilità di creare un worm capace di spostarsi autonomamente tra i primi computer connessi del network sperimentale Arpanet – a sua volta antenato del nostro Internet. Il suo passaggio si lasciava semplicemente dietro la scritta “I’m the Creeper, catch me if you can!”. Se allora erano solo parole, nel 2025 si prevede che il costo per i danni causati da cyber-attacchi raggiungerà i 10,5 mila miliardi di dollari a livello globale. I rischi informatici non rappresentano ormai una minaccia solo per imprese che lavorano con dati confidenziali o su piattaforme online, ma anche per le Pmi più tradizionali e di piccole dimensioni, spesso le meno protette. In caso di hackeraggio, in conto non sono da mettere ‘solo’ salati riscatti, ma le ripercussioni ben più ampie dell’interruzione d’esercizio, i danni reputazionali e le rivendicazioni di responsabilità da parte di clienti o partner.
«Mentre ieri si parlava quasi esclusivamente di protezione perimetrale, oggi la sicurezza è distribuita su tutta l’infrastruttura: sul client, sul server, sui canali che li collegano e che veicolano la comunicazione tra interno ed esterno dell’azienda e viceversa, compresi quelli verso i collaboratori che lavorano da remoto e i loro stessi dispositivi», spiega Danilo Giorgetti, fondatore e Ceo di AIM Consulting SA. Fin dalla sua fondazione, 25 anni fa, la sicurezza è stata un caposaldo dei servizi di consulenza, progettazione, sviluppo e implementazione di sistemi informatici offerti dall’azienda basata a Lugano. Se l’intenzione è mettere i propri clienti nelle migliori condizioni per concentrarsi sui loro obiettivi – come suggerisce il nome stesso, richiamandosi all’inglese “aim” – ecco che la protezione di dati e informazioni digitali diventa strategica. «La sicurezza logica è infatti altrettanto cruciale di quella fisica per consentire a ogni organizzazione di garantire un ambiente protetto e tutelare le proprie risorse. Lavorando nei nostri primi anni essenzialmente per un settore molto sensibile agli aspetti di riservatezza e fiducia come il bancario, precocemente disciplinato dalle regolamentazioni Finma, abbiamo maturato una particolare competenza in materia, supportando anche all’estero le branch internazionali dell’allora florida Piazza ticinese. Un know-how che poi abbiamo portato negli altri settori che oggi, a parti invertite, fanno l’80% della nostra clientela, dalla sanità ai servizi di sicurezza alla popolazione, trasporti e, accanto a pubblico e a parapubblico, le tante aziende private e fiduciarie», sottolinea il Ceo di AIM Consulting.
Lavorando nei nostri primi anni essenzialmente per un settore molto sensibile alla sicurezza come il bancario, abbiamo maturato una particolare competenza, che abbiamo poi trasposto in altri ambiti, dalla sanità ai trasporti e, accanto a pubblico e a parapubblico, in tante imprese private e fiduciarie.
L’azienda conta oggi una ventina di dipendenti con un forte background tecnico affinato dall’esperienza pluriennale maturata sul campo, e prestigiose partnership (ad esempio, è Microsoft Silver Certified Partner e Gold Partner Swisscom), sempre con uno sguardo attento alle novità del mercato per poter offrire soluzioni all’avanguardia ad alto valore aggiunto. Lo rispecchia l’estensione dei suoi servizi in ambito sicurezza.
I principali servizi in ambito sicurezza di AIM Consulting
Alcuni sono ormai ampiamente diffusi, come i software antivirus e antispam oppure i firewall. Anche la multi-factor authentication, che richiede di abbinare una seconda informazione per accedere al proprio account, ad esempio un codice ricevuto via sms o informazioni biometriche, è stata sdoganata dalle procedure sicure di pagamento online e anche dalla nuova Legge federale di Protezione dei dati (nLpd) in vigore da settembre 2023.
«Una procedura invece di per sé scontata come il backup dei dati, è meno banale di quanto sembri. Talvolta è mal configurato, in modo casalingo, il che può ‘semplicemente’ tradursi in un maggior onere finanziario, perché la copia occupa molto spazio disco, ma anche, in caso di cyberattacco, nella vulnerabilità dei dati stessi che crediamo messi in salvo. Ecco che un sistema di backup immutabile permette di proteggersi anche contro ransomware e altre minacce, creando copie che non possono essere modificate né cancellate», sottolinea Danilo Giorgetti.
Indispensabile al contempo implementare un software di patch management per essere sempre up-to-date sugli aggiornamenti rilasciati dai produttori per equipaggiare i loro sistemi contro le nuove minacce.
«Un altro concetto di sicurezza che sta prendendo piede anche in Ticino, è il Security Operation Center (SOC), che permette alle organizzazioni di esternalizzare monitoraggio, analisi e risposta agli incidenti di sicurezza a un team di sistemisti al lavoro h24. È una struttura molto simile a una centrale di allarme della polizia, dotata di sistemi e tecnologie allo stato dell’arte, inclusa una componente di Ai che permette di discriminare gli eventi realmente critici e trattare in modo automatico quelli che possono essere mitigati con un’operazione informatica oppure di sollecitare l’intervento del professionista. Noi stessi ci appoggiamo a uno di questi centri, altrimenti molto costosi da allestire in proprio, ovviamente basato in Ticino per garantire il pronto intervento e la sovranità dei dati», afferma il Ceo di AIM Consulting.
Importante sarebbe sempre la presenza, lato cliente, di un referente che, pur senza possedere le competenze informatiche di un Chief Security Officer, funga da focal point, raccogliendo le segnalazioni della sua azienda. Capillare deve invece essere la sensibilizzazione dei dipendenti con una formazione periodica, poiché, come dimostra il successo del phishing, proprio l’uomo è spesso l’anello debole della catena. Anche questo un aspetto di cui AIM Consulting si occupa, sia erogando corsi per i suoi clienti, sia indirizzandoli a specifici enti formatori laddove necessario.
Mentre ieri si parlava quasi esclusivamente di protezione perimetrale, oggi la sicurezza è distribuita su tutta l’infrastruttura: sul client, sul server, sui canali che li collegano e che veicolano la comunicazione tra interno ed esterno dell’azienda e viceversa, compresi quelli verso i collaboratori che lavorano da remoto e i loro stessi dispositivi.
Ormai cruciale per qualsivoglia organizzazione è la garanzia della disponibilità dei dati, dunque la possibilità, per i soggetti autorizzati, di accedere alle risorse senza interruzioni di erogazione che potrebbero danneggiare l’attività. «È un aspetto da definire già al momento della progettazione del sistema di sicurezza elaborando un Business Continuity Plan, ovvero un documento in cui descrivere nella loro completezza tutti i processi di un’organizzazione, sulla cui base individuare i potenziali rischi di interruzione delle operazioni aziendali, vuoi legati a calamità naturali, vuoi a guasti hardware o attacchi informatici, onde definire attraverso un piano di Disaster Recovery tempistiche e modalità di ripristino di sistemi IT e dei dati critici. Una mappatura esaustiva che è parte integrante di ogni progetto, per poi confezionare soluzioni sartoriali, che tengano conto delle esigenze di business di quel cliente, della specificità del settore in cui opera, come pure della sua disponibilità di budget da dedicare», conclude il Ceo di AIM Consulting. Dal disegno dell’architettura, all’approvvigionamento e all’implementazione dei componenti hardware e software, inclusa assistenza e manutenzione, l’azienda è pronta a gestire ogni fase dei suoi progetti di System integration, sia in autonomia sia interfacciandosi con specialisti e reparti dedicati quando collabora con realtà articolate, di grandi dimensioni. Sempre, facendo della soddisfazione dei clienti il suo “aim”.
© Riproduzione riservata
Strada Cantonale 11
6964 Davesco-Soragno
Tel. +41 91 924 95 90
info@aimconsulting.ch