Cybersecurity for dummies

Cybersecurity for dummies

Con l’ingresso nel mondo del lavoro, ogni nuovo collaboratore si trova a relazionarsi non solo con una struttura organizzativa composta da persone e da strutture fisiche ben definite, ma anche con un importante patrimonio aziendale rappresentato da informazioni. La protezione di queste informazioni, Data Protection, è tanto più importante e complessa al crescere della mole di questi dati e della necessità di accedervi rapidamente e con continuità. Le strategie di Data Protection, che agiscono per mitigare i rischi di danneggiamento, compromissione o perdita di dati, si trovano oggi molto più di ieri a fronteggiare un nuovo rischio: le risorse umane dell’azienda, infatti, possono diventare esse stesse una minaccia alla sicurezza. Amici di WAU, immagino che vi stiate già domandando se abbia preso troppo sole o bevuto troppo vino. Passare dalle risorse al centro dell’azienda alle risorse pericolo per l’azienda sembra un’inspiegabile virata di 180 gradi. Eppure…
Forse per combattere il Codiv-19 lo si affronta a mani nude, con le arti marziali? Certo che no, tutti noi mettiamo in pratica le indicazioni di distanziamento sociale, policy spiacevoli attuate in nome della salvaguardia della salute. Ebbene, esistono molteplici situazioni in cui anche un collaboratore in buona fede, dal centralinista all’amministratore delegato, può inconsapevolmente trasformarsi in un pericolo per l’azienda in cui lavora. Ricorriamo ad un’altra metafora: siamo tutti abituati ad uscire da casa chiudendo le finestre e la porta con doppia mandata, ma in azienda questo non è del tutto possibile. Insomma, ci sono delle minacce diffuse che nelle aziende moltiplicano la loro gravità perché con la complessità, dati, segreti, know how di prodotto e di mercato devono essere sempre disponibili e al contempo riservati, e costituiscono un motore che per funzionare correttamente non può mai fermarsi. Oggi, il punto debole di questo motore è rappresentato dalle stesse persone che lo fanno funzionare con dedizione, perché possono veicolare l’infezione e danneggiarlo inconsapevolmente. Stiamo parlando della cybersecurity, un termine relativamente conosciuto ma che diventerà sempre più noto e oggetto di attenzione per tutti. Cerchiamo di capirne il perché e soprattutto come sia possibile dare il proprio contributo alla sicurezza dal punto di vista di semplici membri di un’organizzazione. Anzitutto si tratta di una criticità molto grave anche se non è percepita come tale. Solo per darvi un numero, la previsione 2021 del costo degli attacchi è di 6 trilioni di dollari a livello mondiale. Le minacce di exploit nelle aziende, nelle istituzioni, nei servizi pubblici sono quotidiane e tali da porre chiunque sotto scacco. Non entrerò nel merito delle tipologie di rischio, basti pensare che non esiste alcuna organizzazione che non sia vulnerabile agli attacchi di vere e proprie organizzazioni criminali, nemmeno con il mantenimento offline, dal momento che sempre almeno un computer è stato in contatto con un altro precedentemente online. Le vulnerabilità sono tecnologiche, sia chiaro, si diffondono con il crescere dei dispositivi collegati in rete (computer, telefoni, dispositivi Internet of Things – IOT), con le nuove soluzioni, con la replica di quelle vecchie e non sono recuperabili in modo completo, almeno allo stato dell’arte, ma è l’essere umano il vero anello debole della catena di sicurezza. Tutti noi lo siamo. Il 90% degli attacchi affligge gli strumenti quotidiani di ogni lavoratore: posta elettronica e browser sono le porte di ingresso, insieme ai cellulari, di fraudolenti accessi che mirano al vero bottino: ai dati e alle richieste di riscatto. Per quanto un’azienda possa costruire una propria Security Strategy, l’intrusione tramite un dispositivo di uso personale è il varco per infettare e diffondere in tutta calma danni permanenti all’ecosistema informativo, in una situazione in cui il perimetro non è più costituito dalle sue mura. Un ulteriore fattore di rischio è sorto con il massiccio ricorso al remote working che se da un lato ha dato buoni risultati dal punto di vista del business, dall’altro ha aggravato le criticità introducendo nel perimetro aziendale tutta una serie di connessioni con un livello di security decisamente più basso e quasi incontrollabile dalla struttura IT. È un po’ come aver messo in prima linea le truppe più impreparate; se CFO hanno esultato per i risparmi oggettivi, gli IT Manager si sono trovati improvvisamente a che fare con PC senza aggiornamenti software (vulnerabilità di sistema), senza antivirus né antispam, con password deboli, condivisi con la famiglia, connessi al Wi-Fi di casa, e soprattutto con una maggiore propensione del singolo ad aggirare le indicazioni di security (e di riservatezza dei dati) rispetto a quanto avrebbero fatto in azienda. Vi sono casi di aziende bloccate per settimane che hanno perso milioni di euro a causa dell’infiltrazione di malaware da PC domestici di inconsapevoli lavoratori. Colpevolizziamo dunque le persone? Tutt’altro, la parola chiave è responsabilizzazione, non soltanto rispetto agli obiettivi di produttività, ma anche di tutela del patrimonio informativo che inevitabilmente li coinvolge. È fondamentale formare tutti i collaboratori che abbiano accesso ad un PC o ad una macchina connessa nel merito dei rischi correlati, responsabilizzandoli sulle cautele da anteporre allo svolgimento della propria mansione. Il beneficio più importante sarà appunto la riduzione del rischio cyber per via di un miglior impiego delle tecnologie digitali, beneficio che si potrà misurare con le metriche delle piattaforme di gestione, ma anche con l’aumento della vigilanza dei singoli e delle segnalazioni all’help desk. Quindi ognuno può fare attivamente la sua parte: – rispettando rigorosamente le policy di IT Security dell’azienda (quante volte vengono sottovalutate con sufficienza!);

– pretendendo formazione sulle cautele da adottare da casa o sul lavoro nonché sulle possibili minacce

– non intraprendendo iniziative autonome seppur per finalità lavorative;

– non improvvisandosi CISO (Chief Information Security Officer) solo per aver configurato il router di casa;

– non aggirando le limitazioni percepite come ingiuste con sistemi non controllati dalla struttura IT (Shadow IT);

– sollecitando i propri responsabili e le strutture interne, HR e IT in primis, per richieste, consiglio lamentele;

– responsabilizzando la propria condotta;

– collaborando prioritariamente e con trasparenza con i colleghi IT preposti al funzionamento e alla gestione delle criticità.

Oggi fortunatamente l’approccio delle aziende a queste tematiche sta evolvendo, soprattutto nelle medio-grandi aziende, ma al contempo aumentano i rischi, per tutti. Il problema della risposta è culturale, di chi avendo potere decisionale non comprende la gravità del rischio, del management focalizzato solo sul business e sul contenimento dei costi, che pensa di aver acquistato “la sicurezza” con un’appliance. Al contrario, tutti e specialmente le nuove generazioni, possono farsi ambasciatori di una nuova domanda di sicurezza, di formazione ai nuovi strumenti e al loro utilizzo accorto per adottare quei comportamenti virtuosi capaci di proteggere le aziende e il loro stesso posto di lavoro da queste minacce. La tecnologia è uno straordinario fattore abilitante che conosciamo attraverso la pubblicità, i social, il marketing, ma impiegarla nel modo più idoneo presuppone un nuovo grado di preparazione e di analisi del rischio da parte di ognuno. Anche questo è mettere le risorse al centro. E ora sorridiamo (ma non troppo) sul campionario di minacce che abbiamo proprio dietro il nostro schermo:

– Ransomware

– Phishing

– DDoS (Distributed Denial of Service)

– Cryptomining

– Trojan

– Botnet

– Business email compromise

– SEA (Social Engineering Attack)

– Deep Fake Audio

– SIM swapping

– MitM (Man in the Middle)

– APT (Advanced Persistent Threat)

– Insider Threat

– 0day

– Account cracking

– Credential Stuffing

Maurizio Zanetta

Maurizio Zanetta

Life & Career Coach

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *