Cybersecurity

AssetProtection. Le persone al centro della Security

di Alberto Buzzoli, Socio ANSSAIF – Associazione Nazionale Specialisti Sicurezza in Aziende di Intermediazione Finanziaria |

Nelle organizzazioni sono ingiustificati investimenti significativi in ambito tecnologico senza un apprezzabile livello di consapevolezza e competenza del personale interno.

Bisogna proprio ammetterlo. Lo spirito romantico che vedeva l’intelligenza e la capacità di intuizione dell’essere umano al centro del mondo sembrava quasi del tutto dimenticato. Specie in ambito di gestione d’impresa, negli ultimi decenni, l’uomo stesso ha manifestato evidenti difficoltà nell’attribuirsi una definizione valida. Forse sotto la pressione del confronto con la tecnologia in rapida evoluzione, s’è diffusa una certa ritrosia a parlare di persone. In barba a qualsiasi principio di linguaggio politicamente corretto, si è preferito dire risorse umane oppure capitale immateriale.

 La rubrica AssetProtection, ovvero Riflessioni su sicurezza e terrorismo, a cura di Anthony Cecil Wright, presidente Anssaif (Associazione Nazionale Specialisti Sicurezza in Aziende di Intermediazione Finanziaria). Per consultare gli articoli precedenti clicca qui.

Chi si occupa di Security – e lo fa seriamente – conosce molto bene la singolarità e l’importanza del ruolo che ricoprono le persone (prevalente rispetto a quello della tecnologia), sia in difesa, dalla parte dei buoni, oppure in attacco, dall’altra parte della barricata.

L’obiettivo della Security è quello di preservare gli aspetti di disponibilità, integrità e riservatezza delle Informazioni – quelle definite come  preziose per l’organizzazione – attraverso l’identificazione e applicazione di efficaci contromisure.

Ciascuna di esse, come è noto, è riconducibile a tre gruppi principali: le fisiche, le tecnologiche e le organizzative.

Le contromisure fisiche riguardano il presidio di un determinato perimetro, al quale gli accessi sono regolamentati: consentiti al personale autorizzato e negati agli sconosciuti.

Quelle tecnologiche sono costituite da apparati e sistemi in grado di aprire e chiudere gli accessi – questa volta virtuali – a chiunque tenti di connettersi.

Infine, le contromisure organizzative prevedono la definizione preventiva di controlli svolti in sinergia tra l’uomo e la macchina e la coordinazione delle attività da compiere in caso di violazioni.

Esiste di fatto una caratteristica che le accomuna tutte, determinandone l’efficacia oppure, viceversa, rendendole estremamente vulnerabili: l’interazione con le persone. Nella maggior parte degli attacchi, infatti, il vettore prevalente non è di natura tecnica o tecnologica, bensì umana. Possono infatti essere condotte attività di studio del comportamento che, attraverso l’arte dell’inganno – così direbbe Kevin Mitnick, autore dell’omonimo libro – consentono di carpire informazioni utili per accedere poi, in totale tranquillità, ai sistemi oppure ai perimetri di sicurezza nel mirino. Roba da ingegneri sociali!

Si dice che la forza di un sistema dipenda dalla robustezza del suo anello più debole. Nelle organizzazioni sono quindi ingiustificati investimenti significativi in ambito tecnologico se non si è provveduto a raggiungere un apprezzabile livello di consapevolezza e competenza delle personale interno, facendo in modo che non cadano al primo trabocchetto.

Prima di programmare e svolgere un’attività formativa continuativa nel tempo è anche opportuno studiare attentamente i freni e le leve individuali delle persone che sono a contatto con informazioni sensibili, considerando la capacità di ciascuna di esse di avere un’adeguata propensione all’accountability, ovvero assumere in modo proattivo le responsabilità.

Anche dal punto di vista del modello organizzativo aziendale – sia che se ne parli genericamente oppure si faccia esplicito riferimento ai reati di natura informatica nell’ambito della responsabilità amministrativa delle imprese (D.lgs 231/01) – l’individuazione delle responsabilità formali per la sicurezza delle informazioni è profondamente differente rispetto alle gerarchie identificate per altri sistemi.

In questo contesto il responsabile del processo non è in grado, per quanto abile, di presidiare lo svolgimento di tutti i controlli necessari ad assicurare un’adeguata attività di prevenzione del rischio. Dovrebbe prevalere quindi la responsabilità del risk owner, che possiede una più ampia e trasversale visione sui processi attivi, ed è maggiormente consapevole delle minacce incombenti, ma soprattutto delle vulnerabilità latenti correlate alle persone a contatto con le informazioni sensibili.

Questi deve provvedere ad identificare delle best practices formalizzate in modo rigoroso e trasferire a sua volta esplicite responsabilità a tutti i dipendenti che entrano in contatto con le informazioni da proteggere. Di contro deve essere identificato un adeguato sistema disciplinare, applicabile in caso di violazione delle disposizioni formalmente comunicate.

Non è certo facile in questo disegno trovare stabilità. Da una parte i dipendenti invocano coerenza tra le responsabilità e le mansioni assegnate (nessuno vuole fare il responsabile quando c’è pericolo), dall’altra il management trema sotto il peso dei rischi a cui l’organizzazione è esposta. Appare quindi intelligente intavolare una discussione costruttiva con i sindacati, con l’obiettivo ultimo di definire adeguati accordi convenienti per entrambe le parti.

E questa è solo una prima ricognizione sul tema. Alla prossima occasione ci divertiremo con argomenti meno istituzionali, giocando a simulare qualche scena da film d’azione. Promettete di non spalancare la bocca se doveste poi scoprire che sono fatti realmente accaduti.