Non c’è azienda di rilievo che non abbia investito in sistemi SIEM, SOAR, IDS, IPS, DLP, servizi cloud, ecc. e poi… un ransomware ha colpito!
A seguito degli investimenti avvenuti in Sicurezza e delle nuove e sempre migliori tecnologie, gli hacker si sono allora dirottati sull’elemento debole della catena della sicurezza: l’essere umano. Di conseguenza, le aziende stanno investendo in corsi di awareness, di informazione e sensibilizzazione a tutto il personale.
Purtroppo, sono sempre tante le organizzazioni che ogni giorno sono colpite.
La domanda che ci si pone è: “Come mai? Cosa è mancato e manca tuttora?”.
Forse abbiamo troppo guardato al passato?
Peter Drucker scrisse più o meno così: “In tempi di forte turbolenza, il pericolo peggiore non è la turbolenza stessa, ma è agire con la logica di ieri”.
Domandiamoci: ciò che stiamo facendo oggi è una copia di ciò che abbiamo sempre fatto? Ad esempio: corsi di formazione ed informazione a tutto il personale. Realizzazione di procedure operative perfette e diffuse a tutto il personale. Delega della gestione della Sicurezza a società altamente specializzate. Tanto per citare le principali azioni che mi vengono in mente.
Dove è il problema? Provo a sintetizzare l’opinione che mi sono fatto.
Interrogando la letteratura corrente, emerge che è messo in discussione questo approccio in quanto è debole; infatti, generalmente trascura il personale, le sue idee, le sue abitudini, la sua cultura del rischio.
Si deve invece diffondere la cultura della Sicurezza, iniziando dall’Organo di gestione, come sta avvenendo nel sistema finanziario (sempre avanti rispetto agli altri settori economici) grazie al recente Digital Operational Resilience Act.
Che cosa è la cultura? Prendo la definizione dalla Enciclopedia Treccani: “l’insieme delle cognizioni intellettuali che acquisite attraverso lo studio, la lettura, l’esperienza, l’influenza dell’ambiente e rielaborate in modo soggettivo e autonomo diventano elemento costitutivo…”.
Trattasi quindi di un impegno non indifferente, perché bisogna iniziare dalla cultura esistente e creare una adatta cultura della sicurezza che, partendo dalla conoscenza delle minacce, opportunità, contromisure (sistemi gestionali, processi, procedure, strumenti, tecniche, ecc.) ed agendo su motivazione, abilità, riconoscimenti, con evidenza dell’impegno del Vertice, consente di far diffondere una coerente cultura della Sicurezza: ciò è riconoscibile anche da atteggiamenti e comportamenti positivi.
Un docente affermò che l’ABC della Sicurezza è: Awareness, Behaviour, Culture.
Mi sembra piuttosto esplicativo.
Per chiudere, cito un recente episodio accadutomi mentre facevo consulenza in una grande organizzazione.
Un dipendente stava scrivendo a mano su un foglio. Il computer acceso era a lato. Si affacciò un collega e domandò: “Visto che non usi il computer, posso usarlo io per qualche minuto?”. Lei rispose: “No, mi dispiace. Il computer sta facendo il corso di sicurezza.”.
Il computer sta facendo il corso…
Buon lavoro!
