Il recente cambio di regime, dovuto al periodo storico ed alle impattanti vicende che stiamo vivendo, ha fatto fatto si che si scaturisse un movimento ed un cambiamento in ambito informatico nei contesti aziendali. L’evoluzione dei metodi di lavoro ha messo in risalto l’importanza della sicurezza informatica perché, non solo il panorama delle minacce è più ampio e complesso di quanto non lo sia mai stato prima, ma la frequenza e l’impatto degli attacchi sono sempre più gravi. Ci fa riflettere quanto questo stia diventando “normale”, poiché sentiamo parlare quotidianamente di attacchi informatici. Non vogliamo sottolineare ed elencare i più rilevanti e anche recenti subiti qui in Italia, ma vogliamo concentrarci sul perché questo possa accadere.
Sebbene molte organizzazioni siano ben equipaggiate ed attrezzate, altre devono ancora investire in questo contesto.
Ma si tratta solo di una serie di tecnologie a metterci in sicurezza? Sebbene sia indubbiamente fondamentale disporre degli strumenti giusti, molte aziende trascurano e non considerano ancora l’anello più debole: il fattore umano. Una grande quantità di incidenti di sicurezza (più del 50%, secondo il recente X-Force Threat Intelligence Index 2022) è causata dall’attitudine umana, come il banale clic su un collegamento di phishing. Le aziende possono mettere in gioco tutte le migliori carte per difendersi, ma se la causa principale è causata da comportamenti di natura umana che non sono controllati, rimarranno sempre vulnerabili ad eventuali violazioni.
Questo è il motivo per cui credo che le aziende debbano cominciare seriamente a prendere in considerazione iniziative incentrate sulla persona, partendo in primo luogo dalla formazione. Questo sarebbe un primo passo verso un nuovo approccio e una nuova cultura aziendale.
La maggior parte degli utenti purtroppo è ignaro dei pericoli che possono presentarsi quotidianamente negli ambienti di lavoro e spesso la mancanza di conoscenze – minime, stiamo parlando delle basi che sono il primo traguardo da raggiungere – sono la prima vulnerabilità che un attaccante può sfruttare. In secondo luogo, mettiamo anche l’insicurezza e talvolta la paura di denunciare scenari particolari, per il timore di esser ripresi o persino licenziati, come spesso accade quando gli attaccanti sfruttano l’ingegneria sociale. In un momento in cui gli attacchi informatici si verificano con molta più frequenza, questo ostinato problema culturale presenta enormi rischi per la sicurezza delle aziende.
Capita, purtroppo ancora spesso, che il lavoro di chi opera nell’ambito della sicurezza informatica non sia un lavoro facile. Questo è dovuto alla natura del lavoro stesso.
Si, siamo fiscali, intransigenti, proponiamo regole difficili da digerire e questo spesso sfocia in un diverbio con i titolari (.. diciamo vecchio stampo) che non tendono a maggior ragione ad assecondare queste pratiche, a discapito ovviamente della propria sicurezza.
Sebbene questa non sia una scienza esatta, ci sono alcuni step fondamentali che le aziende possono intraprendere per impartire questa sfida. L’implementazione della formazione è uno dei punti focali, come ribadito, per garantire che il personale sia dotato delle giuste conoscenze in modo da essere in grado di identificare possibili minacce. I titolari devono essere i primi ad entrare nella parte e devo dare ai propri dipendenti l’opportunità di seguire in maniera consona queste attività di formazione, con l’obiettivo di innalzare la consapevolezza di ognuno, preparato ad affrontare potenziali minacce ed attacchi futuri. Le aziende possono integrare queste capacità di squadra con la tecnologia e l’esperienza grazie a partner e consulenti specializzati. L’unione di questi elementi cooperanti avranno sicuramente un effetto positivo sulla posizione di sicurezza generale di un’organizzazione, consentendo al personale di gestire in maniera efficace la propria attività lavorativa.
Costruire un approccio di fiducia e responsabilizzazione, in cui i dipendenti si sentono a proprio agio nel segnalare incidenti o errori relativi al reparto IT è il secondo step a cui arrivare. Ciò può anche avere un effetto positivo sulla riduzione della frequenti minacce interne, estirpando l’astio che a volte può echeggiare tra i dipendenti, aumentando le proprietà di lealtà sul posto di lavoro.
Adottare fin dall’inizio un approccio più inclusivo e collettivo alla sicurezza informatica, può aiutare ad alleviare qualsiasi sentimento di colpa o rabbia tra i dipendenti, che non avranno più alcun motivo di mettere in cattiva luce la sicurezza dei dati aziendali.
Per me è una cultura, un modo di vivere, un concept che porto alto tutti i giorni, un concetto da tramandare e condividere affinché l’obiettivo ‘sicurezza’ diventi un oggetto concreto su larga scala.
J.M. – Redazione