Tutti i frequentatori delle Reti digitali sono in qualche modo a rischio. Espongono i loro dati, i profili e se stessi a potenziali attacchi criminali con effetti che possono pesare sul portafoglio, sulla reputazione e sulla fiducia di se stessi. Il rischio vale sia per navigatori solitari e utenti della Rete sia per dipendenti o dirigenti aziendali che accedono alle risorse della Rete protetti dai firewall aziendali e dalle infrastrutture appositamente predisposte per la loro difesa da potenti dipartimenti IT. Il rischio per questi ultimi è persino più elevato vista l’accresciuta preferenza dei criminali digitali verso tipologie di utenze aziendali. Non è un caso che gli attacchi digitali riguardino un numero crescente di aziende e obblighino le stesse a investimenti crescenti e soprattutto a rinnovata attenzione.
I molti casi di attacchi riportati dalla cronaca di questi anni indicano un dato incontrovertibile. Nessuno è protetto al 100% e tutti sono in qualche modo vulnerabili perché tutti hanno dati e informazioni da proteggere. A questi dati e informazioni puntano hacker e c cybercriminali e meno sono protetti più a loro vita è semplificata e maggiori sono i rischi per le potenziali vittime.
Solo alcuni anni fa si pensava che gli attacchi fossero indirizzati o a singoli utenti o a grandi organizzazioni, pubbliche o private. Quei tempi sono un ricordo e oggi tutti devono fare i conti con attacchi sofisticati come il ransomware e con la vulnerabilità di dispositivi pervasivi, sempre connessi, costantemente in uso e complessi come smartphone, tablet e laptop. Per difendersi aziende e organizzazioni, piccole, medie e grandi devono farsi più intelligenti, potenziare le loro risorse umane e tecniche, definire obiettivi e livelli di sicurezza nuovi e regolamentati da policy adeguate e soprattutto definire piani di azione utili a fronteggiare gli inevitabili attacchi che potrebbero essere riusciti e penetrare le difese predisposte. Il tutto sapendo che le prime 24-48 ore dall’attacco sono fondamentali per respingerlo o per contenere il danno.
Il senso della vita
Il problema della sicurezza non è più relegabile ai dipartimenti IT ma un problema di business e di tutto il management aziendale. Il management si mostra oggi consapevole del rischio e della responsabilità che ne deriva ma è spesso disarmato in termini di risorse da usare, piani da applicare e azioni preventive. In alcuni casi ad esempio l’assenza di piani di comunicazione alla clientela o ai dipendenti mette rischia di aumentare la confusione e il danno dopo un attacco. Il danno può essere tanto più grande quanto più la scena del crimine viene inquinata da realtà esterne e non gestite direttamente dall’azienda.
Per evitare incertezze post-attacco e il panico che ne potrebbe derivare è essenziale verificare costantemente le protezioni implementate e predisporre per tempo e con precisione di un piano di reazione pensato per limitare i danni, in particolare quelli che possono derivare come effetti collaterali dalle reazioni di partner, dipendenti e clienti.
La prevenzione è molto più del backup anche se questa pratica va sempre ricordata e esercitata, considerando quanto sia elevata la percentuale di aziende o privati che la dimenticano, rischiando di pagarne pegni onerosi e senza ritorno. Il backup non è solo quello digitale. Alcune informazioni e documenti possono essere conservati anche in versione cartacea e pronti per essere rapidamente utilizzati.
L’attenzione maggiore deve essere prestata alla mobilità delle persone e dei dati e delle informazioni che si portano appresso condividendole con altri, usando applicazioni non aziendali come Dropbox o al si fuori delle policy imposte e non rispettano i vincoli legati alle politiche della sicurezza aziendale in termini di comportamenti e abitudini (ad esempio l’uso di USB crittografate, di aggiornamenti continui, ecc.).
Più che alla tecnologia in sé l’attenzione maggiore deve essere focalizzata sulla componente culturale dell’organizzazione e su come incide nei comportamenti dei dipendenti, dirigenti inclusi. Una componente culturale spesso assente è quella che suggerisce la prevenzione, a sua volta basata sulla convinzione di non essere mai completamente al sicuro e protetti da attacchi malevoli esterni o interni (insider). Nel ruolo di dirigenti o manager d’azienda le persone che ricoprono queste posizioni hanno il compito/dovere di contribuire al diffondersi di una cultura attenta al rischio e pronta ad affrontarlo nel caso in cui si manifestasse.
Il rischio è tanto più grande quanto si diffondono ed evolvono nuove tecnologie come quelle indossabili e quelle delle Reti degli Oggetti. In un mondo globalizzato composto de miliardi di oggetti, dispostivi e sensori tra loro sempre interconnessi il pericolo è sempre dietro l’angolo e più insidioso di quello fin qui sperimentato sui personal computer. In particolare non bisogna dare per scontato he tutti gli oggetti hardware e software in circolazione siano sicuri e protetti o che non presentino porte di accesso le cui aperture risultano facilitate da dimenticanze, errori o programmazioni software e logiche carenti.
Di fronte a tanta complessità tutti devono realizzare che il problema non è solo di qualcun altro. Il problema è di tutti, meglio attrezzarsi per affrontarlo!