Home Articoli Nelle campagne di awareness non è che ci scordiamo di qualcuno importante?

Nelle campagne di awareness non è che ci scordiamo di qualcuno importante?

434
Man hand use finger touch fingerprint connect to cloud Digital transformation, new technology and business process strategy, automate operation, customer service management, social network.

Leggendo alcuni articoli che trattano gli attacchi ai sistemi di aziende ed Enti, si potrebbe avere l’impressione che la colpa dei danni subiti sia degli utilizzatori che, con il loro comportamento, hanno facilitato l’accesso in rete di ignoti hacker. Oppure la negligenza, per non aver tempestivamente installato delle note patch ai sistemi informatici.

La soluzione più frequentemente proposta è quella di sottoporre il personale (dagli impiegati ai manager) a dei corsi specifici di sensibilizzazione.

In base alla mia esperienza funzionano bene quelli dedicati alle tecniche di phishing e che sottopongono TUTTO il personale alla ricezione di email “trappola” appositamente create e diffuse. Dalla teoria alla pratica.  Anche efficaci sono le dimostrazioni di come avvengono alcuni attacchi del tipo “Man In The Middle”.

Purtroppo, non mi sembra che una forte attenzione sia dedicata alla sensibilizzazione del Top Management.

Infatti, non poche volte degli attacchi dall’esterno riescono a causa di scelte obbligate. Quali? Ad esempio, il rimandare l’aggiornamento di sistemi non più aggiornabili, perché oramai obsoleti ovvero onde evitare di dover mettere mano ad applicazioni critiche di cui si è perso il “source”. Altro caso frequente, obbligare la gestione dei sistemi ICT e la security a bypassare le misure di sicurezza onde consentire la messa in produzione di procedure non adeguatamente testate: ciò in quanto vi è un forte ritardo sui tempi stabiliti. Potrei aggiungere altri esempi visti accadere anche di recente.

Se poi avviene un attacco cyber, e questo riesce procurando seri danni, leggeremo che è stata colpa del “Phishing”?  O del responsabile dell’ICT, o della Sicurezza, che non avrebbero messo in atto azioni di mitigazione e gestione efficace del rischio?

Mi fermo qui, ma la gestione dei sistemi informativi ed informatici è un tema complesso e va affrontato su più livelli. Forse una riflessione è necessaria.

Ricordiamoci, infatti, che siamo in un momento di “impensabile complessità”!

ACW

 

 

Previous article“Servono strumenti basati sulla conoscenza”
Next articleQuali informazioni ci hanno rubato?