News inserita in data: 04/05/15
CYBER SECURITY RISCHIO STRATEGICO DI AZIENDA
Il fattore umano è spesso ignorato o sottovalutato, ma ormai è un elemento critico della difesa IT
Il posto di lavoro sta subendo da diversi anni cambiamenti continui determinati da diversi fattori, tra cui la recessione economica, gli avanzamenti tecnologici e i nuovi modelli organizzativi. Tra questi, la mobilità del personale è una fenomeno dirompente, come indica una recente indagine di Idc: il 37 percento della forza lavoro mondiale opererà in mobilità entro la fine dell’anno in corso.
Questo fenomeno, che qualcuno ha definito del “dipendente connesso”, ha un profondo impatto sulle organizzazioni e sulle interazioni dei team di lavoro.
Ma uno degli aspetti di questo trend riguarda oltre che i sistemi di lavoro anche la modalità con la quale si accede a dati e informazioni confidenziali, oltre che il modo in cui vengono protette.
E’ utile anche una considerazione di tipo più sociologico e piscologico. Recenti ricerche indicano chiaramente che il personale si sente sicuro e ha fiducia sia nei sistemi di protezione che usa sia nei siti che utilizza. Si tratta di una fiducia intrinseca che lascia alle aziende il compito di proteggere il team di lavoro, mentre in realtà questo senso di (falsa) fiducia è innegabilmente un punto debole nella cyber security e anzi una fonte ulteriore di rischio.
Un esempio potrebbe essere la scarsa consapevolezza di schemi di “rottura” della sicurezza come quelli tuttora in atto con Heartbleed. Una falla di questo tipo espone l’organizzazione a molteplici rischi aprendo una porta agli hacker.
Inoltre è pericoloso il comportamento stesso del personale che utilizza la rete aziendale per transazioni personali, in particolare home banking, shopping e social media. Questo viene fatto con la costante fiducia che un simile comportamento abbia solo un profilo moderato di rischio sui dati aziendali. E’ convinzione diffusa che sia l’azienda per cui il personale lavora a dover provvedere anche alla sicurezza dei dispositivi personali. La fiducia è tale che, anche in presenza di rischio, il personale non cambia le proprie abitudini e nemmeno si preoccupa di differenziare la propria password in funzione dei diversi siti Web che visita.
Il quadro che ne esce è quello di un alto profilo di rischio aziendale causato dal comportamento dei dipendenti, oltre che da quello dell’ambiente di lavoro.
Sono dunque le imprese ad essere chiamate a mettere a punto nuovi modelli di approccio alle tematiche di sicurezza del posto di lavoro, insieme alle difese verso minacce sconosciute.
Modellizzazione per la gestione del rischio
Per mettere al sicuro da un lato le attività di collaborazione e di innovazione IT e dall’altro mantenere pulite reti, dispositivi e cloud da attacchi esterni, la cyber security diventa una componente strategica del risk management. In questa prospettiva le aziende devono mettere in atto un approccio cosiddetto olistico per tenere sotto controllo i rischi di sicurezza attraverso un ciclo di miglioramento continuo delle procedure, formazione compresa.
E’ un equilibrio sottile tra abilitazione delle operatività aziendali e nuovi approcci di protezione che devono tenere conto di comportamenti, nuove piattaforme IT e nuove minacce. Soluzioni vecchio stile di difesa puntuale dell’endpoint e di difesa semplicemente perimetrale mettono le organizzazioni a rischio.
Quali sono dunque le ricette per ottenere una vista globale e coerente sui rischi alla sicurezza? Quali sono i risvolti organizzativi e culturali in azienda?
Un primo fatto è certo: la sicurezza IT è una questione che non riguarda unicamente il reparto IT di un’azienda. E’ un problema più vasto. E’ un detto comune che una catena è forte quanto il suo anello più debole. E in questo caso gli anelli deboli possono prendere diverse forme: utenti che si sentono falsamente al sicuro, software non aggiornato, codice software scritto in maniera sciatta, un sito web non presidiato con cura, errori in fase di sviluppo delle applicazioni.
Hacker in azione
Un dipendente che ha fiducia cieca nella sicurezza del proprio dispositivo diventa complice non volontario e infelice degli hacker. E non sorprende che molte ricerche segnalino il fatto che la maggior parte del personale non aderisca che in modo marginale alle policy aziendali di sicurezza, mentre molti si danno da fare per aggirarle consapevolmente e totalmente. D’altra parte è più pigrizia e ignoranza che malizia.
Se le persone diventano il punto debole allora anche le aziende devono spostare il tiro dalla sicurezza degli oggetti – reti, software o dispositivi – al comportamento delle persone. Il fattore umano è spesso ignorato o sottovalutato, ma ormai è un elemento critico della difesa IT. Oppure, detto con altre parole, le minacce arrivano più da dentro che da fuori.
E qui partono le solite raccomandazioni: cambiare le password con regolarità, usare l’autenticazione forte, creare consapevolezza e formazione. Per citare una recente ricerca di PwC, “l’unica strada verso la creazione di un’organizzazione in grado di sopravvivere e prosperare in mezzo al disordine è questa: organizzazioni agili e adattabili, capacità di far fronte alle rotture di continuità”. In parallelo l’unica strada per creare una sicurezza aziendale concreta è un approccio che sia in grado di accrescere in modo automatico la protezione e nello stesso tempo di abilitare l’agilità dell’impresa.
Per questo la cyber security diventa un rischio strategico di cui tenere conto nella vita quotidiana di un’azienda.
Link alla notizia: link
|
 |
