È sempre più diffusa la percezione che, nonostante l’interesse mediatico, le aziende ignorino la cyber security. Un grave errore, ma a onor del vero occorre sottolineare che non è tutta colpa loro.
Questo articolo non è la recensione di un film e non vuole essere un compendio di cyber security: in giro è già pieno di libri che spiegano come impostare una corretta sicurezza informatica in azienda. Quanto ai film, peraltro non il primo sull’argomento, è lodevole che il tema entri anche nelle sale cinematografiche, ma ancora una volta non è questo l’obiettivo dell’articolo.
Di cyber security non se ne parla mai abbastanza, ma oggi vorrei affrontare unicamente le giustificazioni o scuse che molte aziende usano per non considerare la sicurezza una criticità, quasi che, non facendo nulla, il problema si risolverà da solo.
L’evoluzione della minaccia informatica ci insegna come combatterla
Occorre accrescere la sensibilità sulla cyber security
Tutti noi abbiamo una certa resistenza al cambiamento ed è un sano approccio riflettere sul cambiamento per evitare di rompere ciò che funziona. E il discorso regge, almeno fin quando le cose funzionano bene.
Basta incidenti in università: scopri il tuo nuovo sistema di controllo accessi
Il problema è che, a volte, le cose non sono come sembrano e certi problemi a uno sguardo poco attento semplicemente non si vedono.
La cyber security, un attacco hacker, una sottrazione di dati, spesso non si vedono anche perché non farsi scoprire è una delle tecniche usate per non allarmare la vittima. Ancorché un attacco hacker è un crimine e giustamente chi lo perpetra tende a nascondere la propria identità (singoli, organizzazioni criminali, mercenari, attivisti).
Ma quando un bit cattivo si è introdotto nei sistemi è solo questione di tempo prima che emerga il danno.
Torniamo, quindi, alla questione: perché interessarsi di una cosa che non si vede, non si sente e, sostanzialmente, “non mi riguarda”?
Avere una sensibilità sulla sicurezza, prendere in considerazione un near miss per evitare una tragedia è una questione culturale per alcuni, una vocazione per altri. Ignorare un problema, magari perché non lo si conosce, non è una cosa saggia, è un’attitudine, anche se preferisco chiamarla irresponsabilità.
Le argomentazioni da smentire
La prima argomentazione di chi non affronta la cyber security è, appunto, il “non mi riguarda” a cui si aggiungono dei corollari “a noi non serve”, “le cose vanno bene come sono adesso”, “I nostri sistemi sono aggiornati”, “Abbiamo già un sistema di protezione, un prodotto, un team”, “abbiamo già un dipartimento sicurezza”. Per finire con il mio preferito: “abbiamo sempre fatto così”.
Come possiamo vedere, viviamo già nel mondo perfetto dell’Internet sicura e allora perché le aziende vengono costantemente attaccate? Perché il legislatore si accanisce sulla protezione della privacy? Perché abbiamo continue patch a falle scoperte ogni giorno?
Semplicemente perché chi afferma di essere coperto al 100% non si rende conto che da quando abbiamo messo un PC su ogni scrivania, lo abbiamo messo in rete, collegato a Internet. Poi ci siamo dotati anche di uno smartphone che talvolta colleghiamo in Wi-Fi, su cui leggiamo mail, anche aziendali, o mandiamo messaggi WhatsApp anche aziendali o usiamo social e app varie.
Insomma, i confini tra business e vita privata sono diventati meno chiari, e tutto il castello di cui sopra non poggia più su solide fondamenta, a meno che non si faccia una revisione della security a 360°.
Parlare di cyber security è riduttivo: ecco perché
Molti parlano di cyber security ma, lasciatemelo dire, il termine è riduttivo: la sicurezza di una azienda, dei dati, delle persone non stanno in silos separati, la sicurezza è un’attitudine, un processo, non è un dipartimento e non si tratta con un solo prodotto.
È un argomento cross che interessa, se non tutti, molti dipartimenti e funzioni aziendali e non è un tema che, una volta affrontato, è risolto e possiamo archiviarlo: mi spiace deludervi, ma pensare alla sicurezza come un documento statico da protocollare e archiviare è l’inizio della fine.
Non voglio tediarvi ulteriormente con termini cyber, quindi concludiamo questa breve riflessione con un’ultima considerazione che non vuole essere una giustificazione a non prendere in considerazione una revisione della sicurezza: creare una cultura della sicurezza, rendere la vostra azienda cyber aware, fare formazione, lavorare per creare una cyber security matura nella vostra azienda, pensare a come trasformare l’azienda in un setup cyber resilient, rimangono il mio consiglio, per l’oggi e per il domani, per i proprietari di una azienda e per gli investitori presenti e futuri.
Conclusioni
Se le aziende oggi sbagliano a non prendere in considerazione la cyber security come estensione della sicurezza, è frutto della mancanza di una legislazione, un obbligo, una mancanza di consapevolezza che esiste un livello minimo di compliance a cui ogni azienda o cittadino che tratta dati sensibili dovrebbero adeguarsi.
Nessuno si sognerebbe mai di guidare un auto non assicurata, abbiamo assorbito che guidare con la cintura di sicurezza è la cosa giusta da fare, nessuna azienda pensa di poter risparmiare non installando estintori o sistemi antincendio o anche di allarme.
Ma noi facciamo molte di queste cose non solo perché è buonsenso, ma perché sostanzialmente è un obbligo.
Occupiamoci di cyber security come estensione della sicurezza aziendale e collettiva, perché è giusto farlo, perché ci riguarda tutti anche se non è ancora un obbligo.
Cybersecurity : la guida per gestire il rischio in banca
@RIPRODUZIONE RISERVATA