L’evoluzione tecnologica e la digitalizzazione fanno ormai parte del nostro modo di vivere e del nuovo modo di fare business, migliorando i servizi e la rapidità di comunicazione. In particolare, per il periodo di pandemia che stiamo vivendo, si sono rivelate essenziali nel far fronte alla necessità di lavorare da remoto, nel rispetto del distanziamento e garantendo la continuità operativa.
Allo stesso tempo la maggior esposizione, interconnessione, la smaterializzazione delle informazioni e dei luoghi fisici di archiviazione, la rapidità di introduzione di nuove tecnologie, l’automazione possono esporre le aziende e le persone a nuove minacce e la sfida da affrontare è di riconoscerle attraverso strumenti e procedure di protezione e prevenzione.
I fattori di rischio da considerare sono molteplici: dalle vulnerabilità dei nuovi strumenti adottati, come le piattaforme di collaboration, soprattutto se non aziendali, ai dispositivi ad uso personale, fino a quelli legati alle nuove modalità operative, come il lavoro in ambienti domestici o accessibili al pubblico, per questo è nata la necessità di ribadire e rafforzare regole e procedure aziendali, permettendo allo stesso tempo di renderle più vicine alla vita di tutti i giorni, coadiuvate purtroppo da esempi reali, come tentativi di phishing o social engineering.
Aumentando i fattori di rischio, in proporzione devono aumentare le opportunità di miglioramento in termini di sicurezza delle informazioni e questo riguarda sì l’ambito di IT Security e Information Security, ma include e permette ancora più sinergia tra la Security e le diverse funzioni aziendali, quali HR, Finance, ingegneria e prodotto, comunicazione. Questa maggiore sensibilizzazione ha permesso di divulgare nuove policy di sicurezza, collegate allo smartworking, comunicazioni di awareness sulla protezione del dato e sull’uso dei dispositivi, per un rafforzamento di procedure di controllo interno.
Principali minacce e l’importanza della awareness
Una delle principali minacce in aumento nel periodo di lockdown è stato il phishing, soprattutto con tema Covid19, o la business e-mail compromise, attraverso le quali viene adescata la preda portandola a cliccare su link fraudolenti, oppure su allegati malevoli. Una volta cliccato, il rischio è che venga richiesto di inserire le credenziali, sfruttando le stesse per continuare l’attacco su altri fronti, oppure lanciare un malware.
Per evitare di essere vittima di tali minacce, il sistema è di accrescere tra i dipendenti la consapevolezza di ciò che va evitato, come fare a riconoscerlo, e fornire una chiara spiegazione delle conseguenze e impatto. La security awareness diventa per forza un termine chiave, non solo utile per la sicurezza dell’azienda, ma utile anche nella vita privata e familiare.
L’awareness sulla sicurezza informatica non è un argomento attraente per i non addetti ai lavori, anzi è visto spesso come un argomento distante dall’essere umano, come invece è qualsiasi tipo di crimine. L’awareness sulla sicurezza informatica non è un argomento attraente per i non addetti ai lavori, anzi è visto spesso come un argomento distante dall’essere umano, come invece è qualsiasi tipo di crimine. Oggi, le possibilità di diffondere questa consapevolezza sono molteplici, per esempio attraverso pillole descrittive o dei video esplicativi. Molte aziende usano la gamification creando una sorta di gara tra i diversi uffici o tra i colleghi di pari livello. Uno strumento per misurare poi l’efficacia dei corsi sono le simulazioni di phishing che in base al risultato permette di reindirizzare l’utente che non ha raggiunto il punteggio a un piano di nuovi corsi.
La minaccia della frode non riguarda solo le aziende, ma è una minaccia a cui tutti, anche nella vita privata, siamo esposti. È per questo che la formazione dovrebbe partire fin da subito, già tra i ragazzi o i bambini, ovvero quando si incomincia ad utilizzare sistemi iper-connessi.
L’ambiente scolastico è il contesto più favorevole dove iniziare ad introdurre tale argomento. Oggi tutti hanno un telefono o un pc a casa, tutti sono dotati di connessione internet e l’utilizzo di social web, sistemi di chat e messaggistica, sono di ordinaria amministrazione: queste risorse, però, aumentano anche il rischio di essere vittima di un attacco informatico o di frode.
Una delle conseguenze importanti collegata alla poca attenzione a questi temi anche privatamente è il furto di dati. Come persona di Information Security, i primi concetti che mi vengono in mente sono protezione, privacy, le pesanti sanzioni previse dal GDPR, crittografia, masking e sistemi di data loss prevention. Questo significa che le aziende sono tenute giustamente a proteggere i dati di privacy dei propri dipendenti e dei propri clienti. Il paradosso è che gli stessi dati che vengono protetti dalle aziende, nella vita privata la maggior parte delle persone è disposta a fornirli in cambio di accessi a determinati servizi o a determinate informazioni: con un click rilasciamo il consenso alla privacy, spesso senza esserne consapevoli di come verranno utilizzati i nostri dati. Pochissime persone leggono il consenso al trattamento dei dati, forse solo quando è composto da pochi bullet point. Questo è un altro tema che deve diventare familiare fin dai primi momenti in cui si entra in un mondo connesso.
Strategie di contrasto e comportamenti “virtuosi”
Possiamo ritenerci pronti ad affrontare questo mondo in evoluzione, ma allo stesso tempo così esposto, se continuiamo a sviluppare sistemi di Information Security sempre più robusti e capaci di migliorare la sicurezza in termini di: Comportamenti, attraverso la formazione di tutti gli interessati, Tecnologie, aggiornando e migliorando continuamente le tecnologie di protezione e di esercizio, Processi ed Organizzazione, nella definizione di ruoli e regole che limitino l’esistenza di singoli punti critici per le applicazioni, le tecnologie e le infrastrutture.
Aumentando i sistemi di Prevenzione, Rilevazione e Risposta ad incidenti di sicurezza o data breach (e.g. Segregazione delle reti; Hardening delle macchine; Firewall; VPN; antivirus; ATP; Strong Authentication; Cifratura dati; ecc.). Ogni azienda a seconda del contesto, della sua maturità in sicurezza informatica, dovrà poi sviluppare i fattori che ritiene più opportuni per tutelarsi al meglio dal cyber risk, tenendo conto di questi punti fondamentali:
- approcciare la security come un ecosistema di elementi, riferibile alle persone, ai processi ed alle tecnologie;
- valutare continuamente e dinamicamente l’esposizione al rischio considerando sia le minacce esterne che interne;
- “hope for the best, plan for the worst”;
- investire in prevenzione, ma prepararsi e pianificare anche per gli eventi peggiori consolidando e migliorando le procedure di reazione;
- monitorare continuamente ed imparare dagli incidenti/quasi incidenti, sia propri che di terzi, raccogliendo tutti gli input.
Come sa bene chi opera in questo campo, la sicurezza assoluta non esiste, è un continuo trade off tra rischi, opportunità, costi e tempi ed è pertanto sempre in evoluzione. L’importante è conoscere il rischio, che va analizzato e monitorato, per capire se accettarlo o prevenirlo. Volendo in conclusione soffermarmi sulla realtà specifica del mio lavoro, e della condizione femminile nell’ambiente della sicurezza informatica va detto che il gentil sesso ha una rappresentanza dell’11%, risultato certo non gratificante dovuto probabilmente al fatto che questo ambito disciplinare è stato tradizionalmente visto come un terreno ostico, “da nerd”, per usare un termine gergale.
Fortunatamente questa prospettiva sta cambiando oggi questo campo appartiene a ognuno di noi, almeno nella “postura” siamo tutti un po’ “nerd”, incurvati sui nostri pc, tablet o telefoni per ore e ore, spesso non abbiamo né il tempo né la possibilità di parlare con nessuno. Siamo di fronte a un grande tema del nostri tempo, che ha soprattutto una valenza culturale. La sensibilità e l’avversione al rischio, che caratterizza l’atteggiamento delle donne, potrebbero essere considerati degli oggettivi punti deboli, non bisogna dimenticare che solo coltivando la diversity le organizzazioni possono crescere e andare incontro al cambiamento. Le donne anche, ma direi soprattutto nel nostro ambiente può contribuire in modo decisivo a far crescere la consapevolezza del rischio informatico, in tutte le complesse manifestazioni che la contemporaneità fa a tutti noi quotidianamente sperimentare.
Autore: Isabella Bragantini, Luxottica Group
