L’attenzione alla salvaguardia del patrimonio dei dati dovrebbe essere sempre al centro di qualsiasi processo aziendale. Questo aspetto non dovrebbe mai venir meno, neanche in condizioni di emergenza.
Rispetto a qualche anno fa, oggi, in Italia si fa meno fatica a parlare alle aziende di Information Security; resta invece ancora molto difficile parlarne in termini di organizzazione.
Tra le cause principali vedo da una parte la scarsa propensione delle aziende ad informarsi in modo accurato e dall’altra la schiera di bravi esperti che però faticano a farsi capire (sob!).
L’emergenza scattata con la pandemia ha investito pesantemente le aziende del nostro territorio che hanno dovuto far fronte a importanti esigenze di ristrutturazione in tempi estremamente ridotti.
Quella del telelavoro (o home working) ha costretto una moltitudine di operatori ITC a diverse giornate di lavoro no-stop per la creazione di profili VPN roadwarriors, allo scopo di permettere a quanti più colleghi possibile di lavorare da casa.
A riguardo, parlando con alcune persone coinvolte in questa attività. ma anche leggendo le diverse esperienze condivise sui social, ho osservato diversi compiacersi di essere riusciti a “spostare” dall’ufficio a casa anche più di 50 utenti in meno due giorni … ma con quale risultato per la sicurezza dell’azienda?
In quanti si sono mossi sulla base di un piano di sicurezza studiato e valutato a fronte magari di un risk assessment?
Quanti eventualmente lo hanno previsto successivamente?
Quante aziende, ancora oggi, hanno personale in home working con una VPN configurata al volo, sul pc di proprietà dell’utente, dove magari in passato hanno girato decine di crack e keygen (programmi notoriamente portatori di trojan o malware in generale)?
Il fatto che si rimanga sorpresi che la regione Lazio abbia subito un attacco partito da una VPN “bucata”, mi fa pensare che in pochi si rendano conto che l’home working attuato in fretta e furia nei mesi scorsi abbia collocato una bomba ad orologeria in molte delle nostre aziende! Se alla domanda “Cosa posso fare per mettere la mia azienda al sicuro?” sento ancora oggi rispondere “Anzitutto occorre un buon firewall!” oppure “Se hai un buon antivirus stai abbastanza tranquillo!” come possiamo pensare di uscirne vivi?
Se è vero che molte aziende non hanno ben chiara l’estrema necessità di attivare un processo stabile di risk management, negli ultimi 18 mesi ho avuto la conferma che sono proprio alcuni esperti (o almeno che tali si definiscono) a volere questa situazione.
Brutto dirlo ma è così. Se per pochi spicci qualcuno garantisce un buon livello di sicurezza, perché un’azienda dovrebbe intraprendere un percorso che prevede, tra le altre cose, ben più complesse attività di formazione del personale o di valutazione dei rischi?
I tempi sono già ampiamente maturi per fermare questo gioco al ribasso (di competenze e di qualità) che sta mettendo in pericolo le nostre aziende, rendendole facili prede di tattiche offensive sempre più efficaci e complesse.
Serie e professionali strategie di protezione del dato, devono tenere in considerazione scenari in continua evoluzione, prevedere necessarie periodiche rivalutazioni del rischio e conseguenti revisioni alle strategie di difesa; non possono e non devono essere concepiti interventi spot o semplici implementazioni di dispositivi lasciati poi sul groppone del primo sfortunato tecnico ICT già oberato di lavoro
In definitiva:
- la progettazione di una buona information security nasce dallo studio del contesto in cui il dato compie il suo “ciclo di vita”
- una buona politica di sicurezza delle informazioni deve prevedere una valutazione del rischio volta a identificare appunto i rischi associati alla perdita di riservatezza, di integrità e di disponibilità dell’informazione
- una buona politica di sicurezza delle informazioni necessita di personale formato e consapevole perché le statistiche indicano con chiarezza che il fattore umano è, nel più del 90% (NOVANTAPERCENTO!) dei casi, la causa del successo di accessi da parte di personale non autorizzato a dati riservati (basti pensare a password, PIN o codici di accesso “salvati” su post-it attaccati ai monitor o lasciati in bella vista sulla scrivania)
- al fine di permettere una corretta gestione del dato (e quindi garantirne il più possibile la sicurezza), l’azienda deve assicurare una quanto più possibile chiara suddivisione delle competenze e delle responsabilità di ogni utente e stabilire processi volti a garantire la sicurezza della persona e del dato stesso
Una valida Information Security si occupa anche di cybersecurity, ma basa le sue fondamenta sulla qualità delle analisi dei processi aziendali, su una conseguente efficace organizzazione e sulle competenze degli utenti e di chi deve proporre soluzioni di sicurezza adeguate e funzionali.
Qualità e formazione richiedono per forza di cose un maggiore impegno all’azienda, ma rimanere pericolosamente ancorati alla vecchia logica del “minimo indispensabile”, oggi, potrebbe costare molto (ma molto) di più!