A cura di Edwin Weijdema, Global Technologist, Veeam
Negli ultimi tre anni, tutto ciò che riguarda la cybersecurity ha guadagnato maggiore attenzione. Mentre per la maggior parte delle aziende è chiaro che devono difendersi dagli attacchi informatici, vediamo che anche tra la gente comune la consapevolezza della sicurezza sta finalmente iniziando a crescere. Per le organizzazioni, questa è un’opportunità unica per attribuire una fetta maggiore di responsabilità ai propri dipendenti. A patto che abbiano gli strumenti e la formazione giusti.
La scorsa estate, la band britannica Coldplay ha suonato per ben quattro volte allo Stadio Re Baldovino di Bruxelles. Come parte dello spettacolo, i presenti hanno ricevuto un braccialetto che si illuminava e cambiava colore durante lo spettacolo. Pochi spettatori erano consapevoli, ma ovviamente il bracciale era collegato al loro polso. Anche se gli hacker non avrebbero avuto molto da guadagnarci, non sarebbe potuto essere difficile prendere il controllo del sistema. Per esempio, su Internet è possibile acquistare dispositivi pubblici che rendono abbastanza facile l’hacking di questo tipo di applicazioni.
Purtroppo, ciò che vale per i braccialetti dei Coldplay vale anche per altri dispositivi wearable e IoT (Internet of Things) che utilizziamo. Solo raramente questi dispositivi sono costruiti pensando alla sicurezza. Dal termostato intelligente alla macchina del caffè che trasmette dati, la nostra vita privata è sempre più influenzata dai dispositivi connessi. Per ogni funzionalità che ci semplifica la vita, dobbiamo anche renderci conto che i criminali informatici possono sfruttare la tecnologia a loro vantaggio.
Nel frattempo, molte persone lavorano ancora da casa per diversi giorni alla settimana. Anche questo fa sì che la storia della cybersicurezza si sposti sempre più al di fuori delle mura aziendali. Fortunatamente, la maggior parte degli utenti si rende conto di essere un anello importante della catena della sicurezza ed è disposta ad assumersi le proprie responsabilità.
Sicurezza nelle diverse mansioni
Questo cambiamento di mentalità presenta ovviamente delle opportunità per le organizzazioni. Dopo tutto, investire in tecnologia non è sufficiente se non si coinvolge anche il personale dell’azienda. Non si possono mai escludere del tutto i rischi, per questo è importante che i dipendenti sappiano come reagire in caso di incidente. Perché il fatto che un giorno le cose andranno male è ormai una certezza.
In realtà, si possono paragonare i rischi di un’organizzazione a quelli di una roulette del casinò. Si può scegliere di giocare semplicemente sul rosso o sul nero, con una probabilità del 48,65% che la pallina cada sul colore giusto (nella roulette europea c’è anche lo zero). Se si sceglie un numero, la probabilità scende al 2,7%. Per un’azienda, il rischio di un incendio o di un tornado è più o meno uguale alla probabilità del numero, ma l’attacco informatico corrisponde al rosso o al nero. Gli hacker passano da un’azienda all’altra e quindi è molto probabile che un domani bussino alla vostra porta.
Questa consapevolezza è ora penetrata anche nella sala dei consigli di amministrazione, con il risultato di dedicare maggiore attenzione e budget alla sicurezza. Invece di far ricadere tutta la pressione sulle spalle del CISO, a questa persona viene permesso di partecipare più spesso al tavolo del consiglio di amministrazione e le viene assegnato un ruolo più ampio per integrare la sicurezza in tutti i livelli dell’organizzazione. A breve termine, possiamo persino aspettarci che la sicurezza diventi una parte fissa di ogni mansione. Si stabilirà quasi letteralmente che le persone devono avere un certo livello di consapevolezza informatica e che sono responsabili di mantenerla aggiornata. Naturalmente, questo è possibile solo se il datore di lavoro fornisce gli strumenti per farlo.
Consapevolezza e formazione
Come si affronta esattamente questo problema? Dovrà esserci una sorta di compromesso: le aziende dovranno investire maggiormente in strumenti e formazione, in modo che le persone possano assumere un ruolo più attivo. Questo approccio si articola su due livelli. In primo luogo, è necessario creare consapevolezza, perché ci sono ancora dipendenti che non sanno esattamente quali siano i rischi. A questo scopo, si potrebbe, ad esempio, ingaggiare un hacker che mostri quanti danni può provocare un piccolo errore in pochi minuti e come una rapida risposta dell’utente possa evitare gran parte di questi danni.
In molte organizzazioni, la formazione di sensibilizzazione si ferma qui, ma è necessario seguirla con esercitazioni. Dopotutto, ogni anno organizziamo esercitazioni antincendio per far sì che tutti sappiano cosa fare in caso di emergenza. Allora perché non dovremmo fare qualcosa di simile per la sicurezza informatica? La sicurezza è un argomento che richiede un’attenzione costante. Si potrebbe anche creare un team di “campioni”, un gruppo di dipendenti che, grazie a una formazione extra, sono più preparati in materia di sicurezza e possono fare da coach ai colleghi in officina.
Le persone sono la chiave
Chi lo fa bene scoprirà presto che la maggior parte dei dipendenti è più aperta che mai a questo tipo di formazione. In definitiva, le conoscenze e le competenze non saranno utili solo in ufficio, ma anche nella sfera privata per sapere come affrontare le minacce informatiche. Nessuno vuole che domani un hacker inizi a giocare con il proprio termostato smart, o che un dispositivo poco sicuro provochi il saccheggio del proprio conto bancario. Inoltre, una persona ben istruita estenderà questa linea all’istruzione dei propri figli. Alla fine, anche loro giocheranno con uno smartphone in giovane età e potremo così crescere una generazione più consapevole del cyber.
La tendenza più importante per la cybersecurity nel 2023 non ha quindi nulla a che fare con le nuove tecnologie. Si tratta invece di un messaggio che predichiamo da oltre un decennio: gli esseri umani sono la chiave della soluzione. La differenza più grande rispetto a qualche tempo fa è che ora le persone sono curiose e vogliono sapere cosa possono fare per fare la loro parte. E questa è un’opportunità che le aziende non possono lasciarsi sfuggire.
