LET’S TALK & CONNECT

La parola awareness, consapevolezza, è sempre più utilizzata dalle aziende che vendono tecnologia ma anche da quelle che la utilizzano. Non è un caso. Computer, smartphone, servizi cloud, posta elettronica, applicazioni per chat e videoconferenze sono strumenti di uso quotidiano in ambito lavorativo, a maggior ragione oggi che lo smart working ha preso piede e sembra destinato a consolidarsi.

La facilità d’uso di questi strumenti può ingannarci, spingendoci a comportamenti apparentemente senza conseguenze ma in realtà rischiosi: cliccare su un allegato di posta o su un link senza aver prima controllato il mittente, condividere un documento usando un servizio di file sharing non previsto dalle policy aziendali, usare password poco sicure o “riciclate”, accedere al cloud da qualsiasi dispositivo (incuranti della presenza di software obsoleti) e talvolta anche da reti Wi-Fi pubbliche. Sono solo esempi di leggerezze e distrazioni, a cui si sommano le infinite vie del phishing (sempre più sofisticato e ingannevole, grazie a nuove tecniche di camuffamento, al social engineering e ai deepfake creati dall’intelligenza artificiale), la crescente proliferazione dei ransomware (ormai accessibili anche a malintenzionati inesperti di codice software, grazie al modello as-a-service) e l’irrisolto problema delle vulnerabilità presenti in sistemi operativi e applicazioni (il patch management può essere complesso e l’eterogeneità degli ambienti IT crea dei “punti ciechi” in cui possono nascondersi falle).

Si tratta di problemi stratificati nel tempo e intrecciati tra loro, problemi che i vendor di sicurezza informatica affrontano sempre di più con un approccio cosiddetto Zero Trust, in cui si agisce per ridurre al minimo il rischio e prevenire gli incidenti. Per queste criticità non esiste una soluzione facile e veloce, tuttavia migliorare l’awareness sulle tematiche di sicurezza informatica sarebbe d’aiuto su tutti i fronti.

Un’indagine condotta da The Innovation Group e da Cyber SecurityAngels (Csa) su un campione di duecento aziende italiane ha evidenziato che anche nel nostro Paese il “fattore umano” è l’elemento più critico per la cybersicurezza delle aziende. Tra i principali elementi di pericolo per la propria azienda nel 2022, l’82% degli intervistati ha indicato la scarsa consapevolezza e attenzione ai rischi informatici da parte dei dipendenti: si tratta della risposta più citata, prima ancora delle vulnerabilità degli applicativi (58%) e dei rischi legati alle terze parti (41%). A ulteriore conferma del fatto che il “tallone d’Achille” sono le persone, nel 55% delle aziende l’anno scorso c’è stato almeno un caso di furto o smarrimento di un dispositivo in uso ai dipendenti. Questa è stata la tipologia di incidente più diffusa, ancor prima delle infezioni da malware (47%), del furto di identità o credenziali (37%), degli accessi non autorizzati (29%) e dei data breach (18%).

“Possiamo scrivere regole di ogni genere per definire ogni processo, ma il fattore umano potrà sempre prevalere”, ha commentato Stefano Lusardi, IT security manager di Feltrinelli e referente per la Lombardia di Cyber Security Angels (Csa), in occasione del recente Cybersecurity Summit organizzato a Milano da The Innovation Group. “La chiave è educare alla cybersicurezza”, ha proseguito Lusardi, “non con un corso di formazione fatto una volta l’anno bensì spiegando le necessità della cybersicurezza all’utente, che si tratti di un impiegato o di un manager. Le regole vanno benissimo, ma l’educazione degli utenti è essenziale, e non bisogna pensare di essere tutti degli esperti di informatica solo perché si utilizzano determinati strumenti”.

Ma su quali temi si dovrebbero focalizzare gli sforzi di formazione sulla cybersicurezza? Attraverso le riflessioni di rappresentanti di aziende vendor e utenti, dalle tavole rotonde del summit è emerso che oggi è ancora necessario far capire i rischi legati alla ormai famigerata “dissoluzione del perimetro” dell’IT aziendale. Un fenomeno iniziato da circa un decennio prima con l’apertura all’uso dei dispositivi personali (il cosiddetto bring your own device, Byod) e proseguito con la crescente adozione del cloud e con i modelli di lavoro ibrido nati sull’onda della pandemia.

Altri rischi spesso sottovalutati sono la posta elettronica (principale vettore di infezione, sia per i malware sia per i tentativi di phishing) e le interfacce API, Application Programming Interface. Oggi, in ambienti informatici sempre più eterogenei e geograficamente dispersi, per il personale IT mantenere il controllo e la visibilità è un’impresa ardua. Tutti i dipendenti di un’azienda, in ogni livello dell’organigramma, dovrebbero contribuire a tenere le minacce fuori dalla porta.