Cyber risk is a people risk: a cosa serve la cultura sulla sicurezza informatica?

La security per un’azienda è molto più di un problema tecnico. Un approccio basato esclusivamente su potenti software difensivi rischia di essere un investimento cospicuo ma insufficiente a proteggere la rete aziendale. La componente umana del rischio, quella che sfrutta le debolezze psicologiche e le lacune informative delle persone, è la sfida più grande da riconoscere e affrontare in modo lungimirante. L’obiettivo deve essere quello di ripensare la cybersecurity aziendale come un processo integrato in cui i dipendenti sono al centro della strategia e coinvolti nel contrasto alle minacce.

Primo passo: riconoscere la tipologia dei dati da difendere. I soggetti che operano nella cyber-criminalità mirano a diverse tipologie di dati: da un lato possono indirizzare truffe per prelevare dati identificativi o sanitari oppure per ottenere accessi a conti e carte di credito, sottraendo modiche cifre in attacchi quantitativamente massivi. Dall’altro lato mirano alle informazioni di proprietà intellettuale in ottica di business o spionaggio industriale. Non solo nel secondo caso le aziende sono miniere d’oro, ma spesso mancano di un’intelligenza collaborativa in cui gli IT classificano e predispongono piani di difesa per tutti i nuovi processi, database, progetti di business che vengono implementati da altre direzioni.

Social engineering e il lavoro smart. Ciò che le aziende sottovalutano è il successo dei criminali, come dimostrano gli attacchi più recenti, caratterizzati tutti da una componente di ingegneria sociale: l’obiettivo è quello di individuare il modo migliore per indurre la persona a fornire spontaneamente le informazioni. Dai malware e i baiting ai phishing più mirati, conosciamo bene gli esempi più conclamati emersi nelle cronache. Spesso si trascura il fatto che l’aumento degli attacchi di questo tipo sono concomitanti alla tendenza aziendale di far scegliere ai collaboratori strumenti, luoghi, orari e modalità di lavoro al di fuori del perimetro aziendale: smart working e byod implicano una commistione di dati personali e aziendali, una gestione solitaria di notizie rilevanti per il business, passaggi di informazioni tra dispositivi, infrastrutture e software impossibili da controllare. A maggior ragione, a questa responsabilizzazione del dipendente deve poter seguire un piano di consapevolezza culturale.

La compliance rafforza la centralità della formazione. A livello europeo la Direttiva NIS e il Regolamento sulla Data Protection, a livello italiano il Quadro Strategico per la sicurezza dello spazio cibernetico e il Piano Nazionale per la protezione cibernetica e la sicurezza informatica sono le principali iniziative normo-politiche che disciplinano la promozione e la diffusione della cultura della sicurezza informatica. In particolare, il Regolamento sulla Data Protection (GDPR) è la base giuridica che sancisce l’obbligo formativo per chiunque tratti dati personali: sarà compito del Titolare non solo prevedere dei limiti relativi alla qualità e alla quantità di dati personali a cui hanno accesso i dipendenti, ma anche garantire una formazione costante e sempre aggiornata, specialmente nei momenti di ingresso in servizio, in occasione di cambiamenti di mansioni, di introduzione di nuovi strumenti. Tuttavia, progetti formativi legati meramente agli obblighi di legge, pur mettendo le aziende al riparo da sanzioni, sono mal tollerati dai discenti se non hanno un collegamento con le attività quotidiane e con gli esempi calzanti per il proprio business e la propria responsabilità in azienda. Per cui è difficile pensare che siano efficaci prodotti standardizzati; piuttosto è necessario che i programmi siano settorializzati per tipologia di trattamenti per funzioni, proponendo moduli approfonditi a seconda della gestione dei flussi di dati trattati. Le policy e i rischi di cybersecurity vanno condivisi con le varie tipologie di dipendenti, ovvero non solo con quelli più sensibili e consapevoli ma soprattutto con chi pensa sia un dovere solo dell’azienda preservare un ambiente cyber sicuro oppure, addirittura, vede le policy di sicurezza come un ostacolo all’innovazione e al business.

Una nuova cultura sulla sicurezza informatica si diffonde nelle aziende solo partendo da una formazione condivisa, responsabilizzante e orientata alle persone, seguendo le logiche dell’ingegneria sociale e ribaltandole a favore della protezione aziendale.

Pubblicato su Caffé Digitale – The Innovation Group