banner tiesse
Security

AssetProtection. La sicurezza IT nasce dalla consapevolezza

Buone infrastrutture tecnologiche non bastano: senza creare una cultura della sicurezza, l’esposizione ai rischi cyber non può essere realmente contrastata dalle aziende.

di Gabriele Tucciarone, IT Governance Consultant presso Prometeo Management Consulting |
cybersicurezza

La rubrica AssetProtection, ovvero Riflessioni su sicurezza e terrorismo, a cura di Anthony Cecil Wright, presidente Anssaif (Associazione Nazionale Specialisti Sicurezza in Aziende di Intermediazione Finanziaria). Per consultare gli articoli precedenti clicca qui.

L’inizio del 2017 è stato segnato dalla scomparsa di uno dei più grandi pensatori del secolo scorso, il filosofo e sociologo polacco Zygmunt Bauman, capace di condensare in una semplice espressione la condizione socio-esistenziale che accomuna i cittadini del mondo contemporaneo.

 

La “società liquida” teorizzata da Bauman è infatti la realtà che viviamo ogni giorno: un mondo flessibile, sfuggente, trainato ad alta velocità dall’irrefrenabile progresso tecnologico. Rifacendoci alla definizione di Bauman, potremmo dire che il liquido di cui è composta questa società sono le informazioni, il petrolio del Ventunesimo secolo in grado di creare una nuova rivoluzione socio-economica.

 

La possibilità di accedere sempre e ovunque ai contenuti personali, professionali e culturali e di comunicare in tempo reale con chiunque, in ogni parte del mondo, ha radicalmente cambiato le nostre abitudini. Tutto questo è stato reso possibile dall’avvento e dalla frenetica evoluzione delle nuove tecnologie: da Internet alle TLC, dai social network agli smartphone, fino ai sempre più pervasivi Big Data e al sorprendente Blockchain. È questo mare informativo, il liquido in cui galleggiamo o siamo immersi, spesso senza nemmeno accorgercene. Se tale scenario ha portato innovazione e nuove opportunità di progresso, allo stesso tempo ha introdotto un nuovo rischio: le nostre informazioni sono continuamente minacciate.

 

Negli ultimi anni il valore degli asset aziendali si è spostato sempre più dal fisico al virtuale: a volte hanno più valore le informazioni memorizzate nei server che le merci in stock nei magazzini; ma questo mondo iperconnesso crea un gran numero di porte che possono essere sfruttate dai cybercriminali per entrare virtualmente nelle aziende e minacciare il loro patrimonio informativo.

 

In un precedente articolo abbiamo parlato del danno economico derivante dagli attacchi informatici; per le imprese italiane si stima intorno ai 9 miliardi di euro l’anno. In un contesto “data driven” come questo, in cui la sicurezza delle informazioni è fondamentale, come fare per proteggere il patrimonio informativo delle aziende?

 

Abbiamo già affrontato in un altro articolo il tema della “cyber education” come risposta principe al problema della sicurezza, soprattutto considerando che degli attacchi informatici andati a buon fine, il 90% è causato da errore umano; qui ribadiamo che solo favorendo la diffusione di una cultura della sicurezza in azienda si può ridurre il rischio di attacchi informatici. Ogni dipendente deve diventare consapevole di essere parte attiva nella protezione degli asset aziendali.

 

“La sicurezza è una catena, ed è sicura solo quanto lo è il suo anello più debole”, diceva Bruce Schneier, uno dei maggiori esperti di sicurezza informatica al mondo. Per questo è necessario che in azienda non ci siano anelli deboli e che tutti siano formati e coscienti circa il proprio ruolo nell’ingranaggio, complesso e distribuito, della gestione della sicurezza informatica.

 

Come dimostrano casi aziendali sperimentati direttamente, nella società liquida è necessario investire in cultura e formazione per ottenere un’efficace Information Security Awareness aziendale, per far sì che la sicurezza sia un obiettivo prioritario da raggiungere attraverso la condivisione della responsabilità tra tutta la comunità aziendale.

 

I cyber attacchi verso le aziende sono infatti sempre più frequenti, in particolare quelli della famiglia criptolocker-ransomware: con questo tipo di attacco è sufficiente che una sola e-mail di phishing vada a buon fine, per aggirare le barriere tecnologiche più sofisticate che un’impresa può implementare.

 

“A fool with a tool is still a fool”, dicono gli inglesi: non bastano gli strumenti, ma sono necessari anche i processi, l’organizzazione e la cultura per far funzionare la macchina della sicurezza come si desidera.

 

Un utente inconsapevole (“fool”) dotato di uno strumento (“tool”) è pericoloso, perché “armato” di dispositivi e connessioni informatiche…

 

Vogliamo chiudere come abbiamo aperto, citando un altro grande pensatore che ci ha lasciato da poco. Diceva Umberto Eco: “Il computer non è una macchina intelligente che aiuta le persone stupide, anzi è una macchina stupida che funziona solo nelle mani di persone intelligenti”.

© 2002-2017 Key4biz