Per difendersi dagli attacchi informatici serve la cyber cultura

Gli investimenti in tecnologie di sicurezza informatica e programmi di formazione e sensibilizzazione, aziendali e non, sono aumentati vertiginosamente negli ultimi anni a mano a mano che il panorama delle minacce cresce e che il lavoro agile imposto dalla pandemia ha delocalizzato strumenti e persone. Tutti questi sforzi, però, dal punto di vista di Keri Pearlson, Direttrice Esecutiva di Cybersecurity presso il Mit Sloan School of Management, non bastano a mitigare i rischi legati alla sicurezza informatica, perché il vero anello debole sono le persone e il loro comportamento. Ma il problema può essere risolto. Come? Attraverso una combinazione di investimenti tecnologici e cambiamenti culturali. 

Dal punto di vista dell’esperta, il primo fondamentale passo in questa direzione è implementare dinamiche manageriali che impattino su valori, atteggiamenti e convinzioni delle persone sulla cybersecurity a ogni livello organizzativo: “Abbiamo bisogno di una cultura della sicurezza informatica. Non puoi dire a tutti ciò che devono fare di volta in volta: è necessario che le persone capiscano che la sicurezza organizzativa fa parte del mondo in cui viviamo”. 

Dunque, le aziende sentono l’urgenza di rafforzare il livello della propria sicurezza informatica, tuttavia, i costi globali legati alla criminalità informatica sono destinati ad aumentare: la Cybersecurity ventures, associazione di analisi dati, prevede un incremento del 15% all’anno nei prossimi cinque anni. Nel 2021, il costo medio della violazione dei dati è salito a 4 milioni di dollari circa (più di 3,5 milioni di euro), il più alto nella storia da 17 anni. In questo scenario il Data breach investigations report del 2021 di Verizon, azienda attiva nelle Comunicazioni, ha rilevato che il fattore umano è stato coinvolto in oltre l’85% delle violazioni (che si tratti di prendere decisioni sbagliate che portano a infezioni da malware o di utilizzare password facilmente decifrabili). È qui che, secondo Pearlson, entra in gioco una cultura della sicurezza informatica. 

Istituire un sistema premiale per la cybersecurity 

Non si tratta solo di fornire alle persone un manuale in materia, piuttosto serve infondere la consapevolezza che ogni dipendente ha un ruolo e una buona dose di responsabilità nel mantenere l’organizzazione al sicuro. Insomma, non sono affari che riguardano il solo dipartimento tecnologico; al contrario, le aziende più mature dovrebbero rafforzare la cultura della sicurezza informatica su tre livelli: quello della leadership, quello di gruppo e quello individuale. 

Nel primo caso si tratta di come i CEO affrontano il tema nelle riunioni aziendali, delle priorità che gli conferiscono e di quali iniziative vengono prese sul tema. Nel secondo caso parliamo invece di quanto i dipendenti mostrano di considerare importante o meno l’argomento, passando dalla discussione alla messa in atto di comportamenti più sicuri. Infine, il livello individuale è quello che porta i singoli a sapere esattamente cosa fare in caso di incidente, per esempio come e dove segnalare dei sospetti sulla posta elettronica o su una persona che esce dalla porta con un laptop. 

Detto ciò, qualsiasi intervento in materia, ha sottolineato Pearlson, rischia di fallire se non rientra nella valutazione formale dei dipendenti, associata a ricompense e conseguenze, come l’essere indirizzati a un corso di aggiornamento, a un incontro con un manager o con le Risorse Umane. Per evitare che le possibili conseguenze negative degli errori in materia diventino realtà è poi necessario trattare il tema in un modo simile a quello con il quale si trattano le esercitazioni antincendio: la simulazione, attraverso la pianificazione degli scenari o esercizi da tavolo, di cosa accadrebbe in caso di una vera violazione potrebbe contribuire a evitare che si verifichi davvero. Nessuno vorrebbe pensare per la prima volta a come gestire un attacco informatico proprio mentre questo sta accadendo.