La cyber security non ruota solo intorno a soluzioni tecnologiche. Un rilevante contributo deriva da quello che possiamo chiamare il “fattore umano” e che troppo spesso rappresenta, in termini di sicurezza, il vero anello debole all’interno dei sistemi aziendali. “Il fenomeno delle truffe ai danni delle aziende è un indicatore di quanto il comportamento delle persone possa impattare in questo ambito” conferma Paolo Capozucca, amministratore delegato di Cyber Partners. “Nella nostra esperienza, l’attività di awareness nell’ottica di una creazione di cultura della sicurezza è un tassello fondamentale”.
Una visione strategica
Per gli esperti di sicurezza, la valutazione a livello di cyber security prende sempre in considerazione l’azienda come sistema, in cui è necessario individuare punti deboli e possibili criticità. Una di queste riguarda proprio gli individui. “In qualsiasi impianto industriale, il livello di robustezza è determinato dall’elemento più debole” spiega Capozucca. “Questo principio viene applicato anche ai sistemi di sicurezza. In un sistema informatico, gli elementi che concorrono sono tre: organizzazione, tecnologie e persone. L’elemento umano rappresenta sempre quello più debole”. In quest’ottica, gli studi statistici sono impietosi: circa il 90% degli incidenti di sicurezza sono provocati (o favoriti) da un comportamento inadeguato da parte delle persone. Il ruolo degli strumenti tecnici di rilevamento degli attacchi e dei malware, in buona sostanza, finisce per tradursi in una forma di mitigazione di un errore compiuto a monte nell’uso degli strumenti digitali.
Vietato prendere scorciatoie
Quando si parla di acquisizione di consapevolezze e conoscenze, è indispensabile ricordare che nulla accade dalla mattina alla sera. Una regola che vale anche (e soprattutto) quando si parla di cyber security. “Nessuna azienda può illudersi di poter portare a termine la formazione del personale in un mese” conferma Capozucca. “Per mantenere lo stesso livello di sicurezza quando si passa da un’organizzazione aziendale tradizionale a una modalità che prevede ad esempio l’adozione dello smart working possono servire tra i 18 e i 24 mesi”.
Una stima che prende le mosse dal fatto che un processo di digital transformation “sicuro” richiede, oltre a un’attenta pianificazione, anche una certa gradualità nella migrazione verso l’utilizzo di strumenti basati su piattaforma cloud per il cui corretto utilizzo è necessario una sorta di rodaggio. Banalmente anche sotto il profilo pratico. In molte realtà aziendali, per esempio, i dipendenti non hanno a disposizione computer portatili o smartphone aziendali. Anche una volta forniti i dispositivi (e implementati sistemi di gestione centralizzata degli aggiornamenti e delle funzionalità di sicurezza) è necessario però fissare policy rigorose per il loro utilizzo. Qualcosa che richiede una formazione che, per alcuni aspetti, è tutt’altro che banale.
Dal presente al futuro
La dimensione temporale non ha rilevanza solo per quanto riguarda l’implementazione di strumenti “smart” a livello dell’infrastruttura IT, ma anche per quello che si può considerare il “mantenimento” della cultura della sicurezza in azienda. Le tecniche di attacco utilizzate dai cyber criminali sono infatti in continua evoluzione.
Se l’aggiornamento è indispensabile per gli esperti che si occupano di cyber security, la stessa logica deve essere applicata per “rinfrescare” il know how di dipendenti e collaboratori. “Gli strumenti digitali a disposizione delle aziende cambiano continuamente” conferma Capozucca. “Ogni novità comporta nuovi rischi di sicurezza e richiede quindi l’adeguamento di buone pratiche per un utilizzo sicuro”. Insomma: se l’awareness è fondamentale per garantire un livello adeguato di cyber security quando si affronta una fase di digital transformation, ciò che le aziende devono interiorizzare è che si tratta di un processo continuo, che richiede costanti aggiornamenti e adeguamenti alle mutate condizioni legate all’evoluzione tecnologica.