L’importanza del fattore umano nella cyber security. L’opinione di Cyber Partners

pittogramma Zerouno

News

L’importanza del fattore umano nella cyber security. L’opinione di Cyber Partners

Buone pratiche, ma anche consapevolezza per contribuire alla cyber security. Ecco quanto conta in azienda la preparazione di impiegati e collaboratori per garantire l’integrità dei sistemi IT e contrastare gli attacchi informatici. Ne abbiamo parlato con Paolo Capozucca, amministratore delegato di Cyber Partners

26 Mag 2020

di Marco Schiaffino

La cyber security non ruota solo intorno a soluzioni tecnologiche. Un rilevante contributo deriva da quello che possiamo chiamare il “fattore umano” e che troppo spesso rappresenta, in termini di sicurezza, il vero anello debole all’interno dei sistemi aziendali. “Il fenomeno delle truffe ai danni delle aziende è un indicatore di quanto il comportamento delle persone possa impattare in questo ambito” conferma Paolo Capozucca, amministratore delegato di Cyber Partners. “Nella nostra esperienza, l’attività di awareness nell’ottica di una creazione di cultura della sicurezza è un tassello fondamentale”.

foto Paolo Capozucca
Paolo Capozucca, amministratore delegato di Cyber Partners

Una visione strategica

Per gli esperti di sicurezza, la valutazione a livello di cyber security prende sempre in considerazione l’azienda come sistema, in cui è necessario individuare punti deboli e possibili criticità. Una di queste riguarda proprio gli individui. “In qualsiasi impianto industriale, il livello di robustezza è determinato dall’elemento più debole” spiega Capozucca. “Questo principio viene applicato anche ai sistemi di sicurezza. In un sistema informatico, gli elementi che concorrono sono tre: organizzazione, tecnologie e persone. L’elemento umano rappresenta sempre quello più debole”. In quest’ottica, gli studi statistici sono impietosi: circa il 90% degli incidenti di sicurezza sono provocati (o favoriti) da un comportamento inadeguato da parte delle persone. Il ruolo degli strumenti tecnici di rilevamento degli attacchi e dei malware, in buona sostanza, finisce per tradursi in una forma di mitigazione di un errore compiuto a monte nell’uso degli strumenti digitali.

Vietato prendere scorciatoie

Quando si parla di acquisizione di consapevolezze e conoscenze, è indispensabile ricordare che nulla accade dalla mattina alla sera. Una regola che vale anche (e soprattutto) quando si parla di cyber security. “Nessuna azienda può illudersi di poter portare a termine la formazione del personale in un mese” conferma Capozucca. “Per mantenere lo stesso livello di sicurezza quando si passa da un’organizzazione aziendale tradizionale a una modalità che prevede ad esempio l’adozione dello smart working possono servire tra i 18 e i 24 mesi”.

Una stima che prende le mosse dal fatto che un processo di digital transformation “sicuro” richiede, oltre a un’attenta pianificazione, anche una certa gradualità nella migrazione verso l’utilizzo di strumenti basati su piattaforma cloud per il cui corretto utilizzo è necessario una sorta di rodaggio. Banalmente anche sotto il profilo pratico. In molte realtà aziendali, per esempio, i dipendenti non hanno a disposizione computer portatili o smartphone aziendali. Anche una volta forniti i dispositivi (e implementati sistemi di gestione centralizzata degli aggiornamenti e delle funzionalità di sicurezza) è necessario però fissare policy rigorose per il loro utilizzo. Qualcosa che richiede una formazione che, per alcuni aspetti, è tutt’altro che banale.

Dal presente al futuro

La dimensione temporale non ha rilevanza solo per quanto riguarda l’implementazione di strumenti “smart” a livello dell’infrastruttura IT, ma anche per quello che si può considerare il “mantenimento” della cultura della sicurezza in azienda. Le tecniche di attacco utilizzate dai cyber criminali sono infatti in continua evoluzione.

Se l’aggiornamento è indispensabile per gli esperti che si occupano di cyber security, la stessa logica deve essere applicata per “rinfrescare” il know how di dipendenti e collaboratori. “Gli strumenti digitali a disposizione delle aziende cambiano continuamente” conferma Capozucca. “Ogni novità comporta nuovi rischi di sicurezza e richiede quindi l’adeguamento di buone pratiche per un utilizzo sicuro”. Insomma: se l’awareness è fondamentale per garantire un livello adeguato di cyber security quando si affronta una fase di digital transformation, ciò che le aziende devono interiorizzare è che si tratta di un processo continuo, che richiede costanti aggiornamenti e adeguamenti alle mutate condizioni legate all’evoluzione tecnologica.

Marco Schiaffino

Giornalista

Marco Schiaffino si occupa di nuove tecnologie e sicurezza informatica dal 2000, come redattore (e in seguito caporedattore) di Computer Magazine. Giornalista freelance, ha collaborato con varie riviste di settore e siti di news, tra cui PC Professionale, CHIP e Il Fatto Quotidiano. È autore e conduttore della trasmissione rubrica radiofonica settimanale Doppio Click su Radiopopolare.

Articolo 1 di 4