Lo scenario globale di aziende e professionisti sempre più orientati a BYOD (Bring Your Own Device), smart working e comunicazione via social network complica il cammino della sicurezza digitale.
Una tendenza tradotta, nel panorama full digital italiano, in quella “pericolosa” costellazione di dispositivi fissi e mobili utilizzati da manager e dipendenti per operare, grazie ai servizi cloud, sia a livello aziendale sia in contesti personali.
A tracciare il fenomeno della “consomerizzazione“ degli strumenti digitali – e i relativi rischi in termini di sicurezza digitale -, Marco Bozzetti, presidente di AIPSI (Associazione Italiana Professionisti Sicurezza Informatica) e responsabile dell’Osservatorio Attacchi Digitali in Italia (OAD), giunto nel 2018 al decimo anno di elaborazioni.
“I servizi ICT in cloud o terziarizzati – spiega Bozzetti in occasione del primo SecSolutionForum, lo scorso 7 giugno a Milano -, consentono di intervenire da remoto, via internet, su sistemi informativi di aziende e pubbliche amministrazioni, social network, impianti di automazione industriale e ulteriori soluzioni IoT integrate a tali sistemi e composte da robot, sensori, telecamere e altri dispositivi sul campo. Spesso proprio questi “oggetti” connessi sono obsoleti, quindi molto vulnerabili e facilmente attaccabili”.
Da cosa dipendono, in concreto, i cyber attacchi? Il presidente di AIPI non ha dubbi nell’imputare la maggior parte delle “colpe” alle cattive abitudini del personale, sebbene lato tecnologico e manutenzione rimangano aspetti non trascurabili. Analizzando infatti i tre livelli di vulnerabilità – tecniche, umane e organizzative -, i problemi ICT legati a software, piattaforme collaborative, posta elettronica e dispositivi mobili risultano più facilmente arginabili, con adeguate soluzioni e competenze, rispetto ai limiti comportamentali di dipendenti e manager che quotidianamente utilizzano i sistemi digitali “consumerizzati”.
Scarsa conoscenza, imperizia, imprudenza degli utenti, accompagnate da carenze nella formazione delle risorse umane, nell’analisi dei rischi e nel monitoraggio delle procedure risultano così i principali nemici della sicurezza digitale.
Partendo dal presupposto che la sicurezza digitale dipende in gran parte da noi e dalla scelta del management di affidarsi alle competenze multidisciplinari di professionisti certificati, Marco Bozzetti conclude lasciando al pubblico di SecSolutionForum i 10 comandamenti della sicurezza digitale:
1. La sicurezza assoluta non esiste
2. La Legge di Murphy è sempre vera, prima o poi qualche guaio arriva: bisogna essere preparati al ripristino
3. Il peggior nemico è la “falsa” sicurezza
4. La sicurezza è un processo continuo, per la parte tecnica come per quella organizzativa
5. La sicurezza globale deve essere calata nello specifico contesto dell’azienda/ente
6. Sensibilizzare, formare, addestrare costantemente sia gli utenti finali sia gli operatori-amministratori di sistema
7. A prescindere da soluzioni e modalità di intervento prescelte, spetta al top management dare un forte commitment, guidare i fornitori e dare il buon esempio
8. Prevenire, prevenire, prevenire: ma per far questo occorre misurare e controllare sistematicamente
9. La velocità e la complessità degli attuali attacchi richiedono processi di gestione della sicurezza automatizzati
10. La sicurezza ICT è come una catena: serve un corretto bilanciamento tra i diversi strumenti e misure adottati
Il cammino è tracciato, alle aziende non resta che seguirlo attuando le strategie necessarie a combattere efficacemente le presenti e future battaglie per la sicurezza digitale.