ll cosiddetto false sense of (cyber) security, il sentirsi più sicuri di quanto non si sia realmente, è uno dei nemici più subdoli per chiunque si interfacci con la tecnologia. Un nemico alle porte, sempre presente e pronto a far breccia sfruttando quelli che sono i bias cognitivi che tanto ci rappresentano.
C’è tanta strada da fare, ma il rapido evolvere della digitalizzazione, gradualmente, sta contribuendo gradualmente a rendere più dotti gli utenti, relativamente alle giuste e opportune pratiche di cyber hygiene da adottare. Da definizione, quella serie di principi da seguire quotidianamente per minimizzare i rischi derivanti dall’utilizzo di sistemi informatici.
Ma la sola conoscenza, senza un’adeguata applicazione e aggiornamento, in un mondo che viaggia così veloce, possono davvero farci stare al sicuro? Per molti, consciamente o inconsciamente, è così.
Indice degli argomenti
La minaccia del false sense of (cyber)security
La tendenza al credere che le cose brutte del mondo non accadranno proprio a noi, vedendole sempre lontane, a volte può aiutarci a rimanere sani di mente in un mondo che spesso sano non è, ma che non arreca vantaggi quando si traduce nel lasciarci vulnerabili online, provocando un disallineamento tra rischi e credenze personali.
Vivere o convivere con il false sense of security vuol dire minacciare la propria cyber resilience, la capacità di far fronte e recuperare rapidamente da qualsiasi tipo di avversità. Vuol dire andare incontro ad importanti impatti negativi per il business, che diventa potenziale vittima di perdite finanziare, reputazionali e che in alcuni casi possono coinvolgere la sfera della safety.
Bisogna rendersi conto che ogni organizzazione e individuo può e deve considerarsi potenziale vittima di un attacco. È ormai nota al grande pubblico la frase di John Chambers, ex CEO di Cisco: “Ci sono due tipi di aziende: quelle che sono state hackerate e quelle che non sanno ancora di essere state attaccate”. Possiamo essere attaccati per il nostro ruolo aziendale, per le informazioni che possediamo, per intenti goliardici, per essere un importante nodo verso la “vera” vittima da attaccare e per diversi altri motivi che media ed esperienze dirette ci hanno fatto conoscere.
Ma seppur non esista un “silver bullet” per la (cyber) security, inteso come soluzioni perfette che si possono applicare nella stessa identica maniera, in ogni contesto e ambito, è possibile iniziare a lavorare partendo da spunti e riflessioni come quelle esposte qui di seguito, che se metabolizzate e tradotte in azione, possono trasformarsi in importanti vantaggi sia nel breve che nel lungo termine.
False sense of security: promuovere un’adeguata cyber culture
Questa promozione deve avvenire attraverso una piena comprensione del ruolo che ogni risorsa è portata a ricoprire, di come questo si interseca nell’ecosistema aziendale, con una piena maturità di quelli che sono i compiti da svolgere, ed una formazione che permetta un adeguato livello di autonomia e di gestione dei rischi al quale si può essere esposti.
Verifiche periodiche di sicurezza che vadano oltre un vulnerability scan
Un vulnerability scan, infatti, permette di rilevare una piccolissima parte delle vulnerabilità presenti, con rischio di lasciare il perimetro disseminato di potenziali punti di ingresso per attaccanti di ogni tipo.
Affiancare questo tipo di attività, con periodici penetration test, permette una più pronta risposta e conoscenza delle debolezze tecnologiche e non.
Seppur possa sembrare banale e scontato, fondamentale per questa fase non è la sola conoscenza delle vulnerabilità presenti, ma la successiva applicazione delle soluzioni rimediali per risolvere le stesse.
Sono numerose, infatti, le organizzazioni che svolgono questo tipo di test, magari perché “spinte” da richieste normative, che si soffermano ad una mera visione del report oggetto dell’attività, archiviandolo senza ricavarne il suo valore effettivo e reale.
False sense of (cyber)security: la tecnologia è solo un supporto
Gli strumenti tecnologici devono essere sempre considerati come uno strumento al servizio dei professionisti e mai come una sostituzione completa degli stessi.
Avere soluzioni commerciali di svariate migliaia di euro a protezione dei propri sistemi, non vuol dire aver risolto i propri problemi di sicurezza.
Il vero scopo e obiettivo non deve essere quello di ridurre il rischio a zero, situazione irrealizzabile e folle, ma quello di lavorare per portare il livello di rischio a valori accettabili per i decisori coinvolti.
La parte tecnologica è solo un piccolo subset della sicurezza cyber. La miglior linea di difesa, sono in primis le persone.
Affidarsi a metodologie e best practice consolidate
Avere delle fonti autorevoli e aggiornate su cui poter fare riferimento, permette di incrementare il proprio livello di resilienza cyber su più fronti, aumentando la consapevolezza dei propri punti di forza e riconoscendo le proprie debolezze su cui è opportuno intervenire.
Importante, però, è che queste vengano calate opportunamente all’interno del proprio contesto e che siano affiancate dalle lesson learned, patrimonio informativo che insieme alle prime, permette di ottenere quel da tanti desiderato approccio proattivo alla sicurezza.
Investire il denaro in maniera propria
Se da un lato anche nella security il detto “più spendi, meno spendi” rappresenta una verità, è importante osservare che se le risorse non vengono incanalate con un opportuno approccio olistico, che tenga conto dei processi, delle tecnologie e delle persone, ci si potrà trovare con una situazione in cui il rischio continua ad essere elevato, e allo stesso tempo avere un conto fortemente “in rosso”.
Metaforicamente parlando, barricare tutte le finestre e lasciare la porta d’ingresso aperta, non si rivela mai una soluzione geniale.
Il piano di spesa per la sicurezza deve affrontare diversi aspetti che molto spesso possono sembrare anche lontani dalla stessa, ma che inevitabilmente si vanno ad intersecare impattando su più fronti.
La regulatory compliance è solo un pezzo del puzzle
Citando Rick Grinnell, cyber security e artificial intelligence startup investor, “la verità è che un buon livello di sicurezza porta ad una adeguata regulatory compliance, e non è detto il viceversa”.
I cambi e le modifiche normative sono infatti molto più lente del livello di evoluzione delle minacce. Un approccio proattivo è la chiave di volta per riuscire a far fronte alle nuove sfide che il panorama presenta nelle sue diverse sfaccettature.
In conclusione
Il passo più importante è anche il più semplice: abbandonare il senso di fiducia incondizionata che ci lascia vulnerabili ed esposti alle minacce più subdole, sostituendo a questo una attenta e sana analisi che tenga conto di tutti gli aspetti che più o meno direttamente sono connessi alla security e alla safety.
Citando Donald Miller, CEO di Storybrand, “nell’era dell’informazione, l’ignoranza (e ci aggiungo, l’indifferenza e la fiducia incondizionata), è una scelta.
