Studi professionali di ingegneria: la lunga strada verso la sicurezza informatica efficace
Un’indagine del Centro Studi CNI e del Comitato C3i analizza l’approccio degli studi professionali di ingegneria al tema della cyber security e della tutela dei dati
Il Centro Studi CNI ed il Gruppo di lavoro Cyber Security del Comitato C3i hanno realizzato nel mese di novembre 2021 un’indagine con l’intento di sondare l’approccio degli ingegneri al tema complesso della sicurezza in ambito informatico. All’indagine hanno partecipato oltre 4.800 ingegneri iscritti all’Albo professionale.
Sono emersi approcci diversi ed articolati, oltre ad aspetti tutt’altro che scontati. Si passa da casi in cui emerge un approccio forse troppo fluido in termini di compliance delle norme in materia di tutela dei dati personali (dei clienti degli studi professionali) ad un atteggiamento più informato e consapevole dei rischi connessi alla gestione dei dati a cui, però, non sempre segue un investimento efficace in strumenti per la sicurezza informatica.
Meno della metà degli studi professionali analizzati ha predisposto l’informativa essenziale per il trattamento dei dati personali dei clienti. Tra chi opera nell’ambito dell’ingegneria dell’informazione si riscontra un approccio più avanzato su questo aspetto.
I servizi in cloud e quelli “on premise” legati allo svolgimento dell’attività lavorativa sembrano essere prerogativa dei soli ingegneri che operano nel settore dell’informazione, mentre negli altri settori il fabbisogno di questi strumenti è ancora molto limitato.
Tra i sistemi di archiviazione dei dati, quelli su cloud iniziano a diffondersi, mentre forme più evolute come lo storage on premise sono più rari. Sono però relativamente pochi gli ingegneri che non conoscono nessuno degli strumenti presi in considerazione.
Sul collegamento da remoto con VPN emerge invece una certa confusione. Il 13% degli ingegneri intervistati non sa se ne dispone. L’accesso ai file di lavoro con VPN è più diffuso tra gli ingegneri dell’informazione mentre si abbassa drasticamente tra gli ingegneri industriali e civili-ambientali. Occorrerebbe verificare però quanto, effettivamente, per un professionista sia praticabile o utile lavorare da remoto per valutare veramente le regioni di alcune risposte ottenute nell’indagine.
Ma anche tra i pochi professionisti che operano con VPN, l’attenzione al tema della sicurezza andrebbe meglio focalizzata. L’indagine ha infatti messo in evidenza come il 72% dei professionisti intervistati accedono alla VPN solo con username e password. Solo il 12% dispone di chiave precondivisa e solo il 16% dispone di una così detta strong authentication (otp o token).
D’altra parte, è particolarmente significativo il fatto che gli strumenti più diffusi e utilizzati dagli studi professionali in materia di sicurezza informatica siano i software antivirus e antimalaware, mentre altri strumenti, come l’antiphishing o il filesystem crittografato, sono prerogativa di una stretta minoranza.
Infine solo il 18% di chi opera nella libera professione ha indicato di avere frequentato qualche corso di aggiornamento sulla sicurezza informatica a testimoniare che l’argomento non è considerato come particolarmente rilevante.
“I dati raccolti non descrivono una situazione di sostanziale pericolo tra gli studi professionali di ingegneria – afferma Gennaro Annunziata, Coordinatore del gruppo di lavoro sulla cyber security del C3i – ma evidenziano degli aspetti importanti da tenere sotto controllo. Diamo spesso per scontato che gli ingegneri debbano essere competenti su tutto, incluso anche le tecnologie informatiche, ma la conoscenza degli strumenti per la sicurezza informatica sono in realtà strumenti per specialisti. Abbiamo scoperto che molti studi professionali potrebbero essere esposti ad un elevato grado di rischio ed abbiamo capito che un programma divulgativo sui migliori e più efficaci sistema di difesa da attacchi informatici, indirizzato agli studi professionali, potrebbe essere utile, proprio per creare quella cultura della sicurezza di cui la nostra categoria spesso parla”.
“L’indagine – afferma Giuseppe Margiotta, Presidente del Centro Studi CNI – fa luce su un fenomeno interessante. Davamo per scontato che gli studi di ingegneria fossero particolarmente preparati in tema di sicurezza informatica e di gestione dei dati dei clienti. Emergono invece alcuni elementi potenzialmente critici. La generazione di professionisti tra i 30 e i 50 anni sembra quella più “ferrata” in tema di cybersecurity mentre i più giovani e più anziani hanno un approccio un po’ meno attento. Un’operazione culturale per sensibilizzare in primis gli iscritti all’Albo degli Ingegneri sui temi della sicurezza informatica sarebbe particolarmente utile anche perché avremmo nell’ambito della nostra stessa categoria numerosi esperti in grado peraltro di comprendere le particolari esigenze degli studi professionali”.
Roma 26 aprile 2022
Allegato Rapporto Centro Studi CNI e del Comitato C3i: Ingegneri e approccio alla cybersecurity Indagine campionaria