Cultura digitale e information security in Italia: come influenzeranno i trend economici delle aziende?
Lo scenario della cyber security
In ambito di cyber security le strategie sinora messe in campo appaiono totalmente inadeguate. E questo è un dato di fatto che emerge, ormai quasi noioso, dai report che ne misurano i trend. Solo per citarne uno tra i più recenti ed autorevoli a livello nazionale, il Rapporto Clusit 2019 sulla sicurezza ICT in Italia annuncia senza mezze misure che il 2018 è stato l’anno peggiore di sempre in termini di evoluzione delle minacce “cyber” e dei relativi impatti economici.
Per identificare con chiarezza le motivazioni di questo disastro e correre quanto più rapidamente possibile ai ripari è doverosa una riflessione specifica che riguarda i vettori d’attacco impiegati, lasciando per un momento a latere le tipologie di attaccanti e delle vittime.
Nel 2018, tra le tecniche di attacco citate, crescono in modo esponenziale le categorie unknow (+47,3%), phishing / social engineering (+56,9%) e phone hacking (+200%). Tutte quante correlate da un unico comune denominatore: agiscono principalmente sulle persone e sulla loro carenza di competenza e consapevolezza. Sull’incapacità di cogliere i cambiamenti del contesto – che certamente si estende e muta con modalità e rapidità senza precedenti –, di sviluppare adeguate riflessioni al riguardo ed agire in modo coordinato, senza lasciare tanto margine all’improvvisazione.
È evidente quindi come la causa principale non sia tanto una questione esclusivamente tecnica o finanziaria – fattori che certamente contribuiscono in modo significativo – quanto piuttosto una questione umanistica, culturale. Del resto sono anni che la norma internazionale di riferimento sulla sicurezza delle informazioni, la ISO/IEC 27001, nella definizione dei requisiti relativi alla competenza (rif. 7.2) rende esplicita la relazione tra le persone e la loro capacità di influenzare le prestazioni del sistema di gestione.
Tutto ciò premesso, se il linguaggio rappresenta da sempre espressione della logica degli individui ma anche dei fattori culturali che hanno influenza su di essi, non appare certo un fattore trascurabile quello relativo all’impiego del termine sicurezza informatica. Perché in lingua inglese l’espressione information security viene spesso tradotto con sicurezza informatica e non con sicurezza delle informazioni? È una pura casualità oppure permane culturalmente un’innata tendenza a mettere l’accento su questioni di carattere tecnico trascurando quelle organizzative, maggiormente focalizzate sull’interazione tra processi e persone?
Le generazioni X, Y e Z
È ipotizzabile, alla luce di quanto sinora confutato, che sussista una diretta relazione tra il gap culturale in materia di cyber security, e più genericamente nell’ambito dell’impiego del digitale, e il livello delle somme di denaro (da capogiro) perse a causa di cyber attacchi. Ma c’è anche da chiedersi se le nuove generazioni, i nativi digitali, e le loro caratteristiche comportamentali, in assenza di un indirizzo culturale strutturato, saranno elementi di successo o di disgrazia per l’economia nei prossimi decenni.
Nel Rapporto annuale 2016, l’ISTAT ha condiviso una classificazione non convenzionale delle generazioni dell’ultimo secolo, prendendo anche in esame la Generazione X (nati tra il 1966 e il 1980), i Millenial (nati tra il 1981 e il 1995) e l’I-generation (nati tra il 1996 e il 2015). Tre generazioni che vengono anche identificate come X, Y e Z e per le quali è possibile definire alcuni tratti distintivi, elementi di supporto alla configurazione di uno scenario futuro ipotetico. Tra i fattori rilevanti nella determinazione delle loro caratteristiche distintive rientrano le tecnologie disponibili sin dai primi anni di vita, eventi socio-politici, condizioni economiche. Tutti fattori dai quali scaturiscono profili d’interazione con gli strumenti digitali. E purtroppo le constatazioni non sono confortanti.
La Generazione X, che ha interagito con il digitale nel suo stato più primordiale, nella sua forma meno usabile e molto procedurale, è anche la stessa generazione che ha contribuito allo sviluppo e alla diffusione della tecnologia attraverso conoscenze e metodi strutturati. Normale che tutta l’attenzione si concentrasse sullo sviluppo tecnico e sull’enorme spinta che avrebbe portato nel settore industriale, influenzando, fino a modificarli profondamente, i modelli produttivi. I rischi con i quali si sono confrontati hanno riguardato principalmente gli aspetti di disponibilità e integrità di strutture di elaborazione e i relativi dati prodotti, in un contesto dedicato esclusivamente al business e poco interconnesso.
Per i Millenial la questione è stata ben differente. Hanno assistito e preso parte alla trasformazione del digitale, nel momento in cui s’è verificato un cambio di passo nella diffusione delle tecnologie, anche per mezzo di strumenti non più dedicati al contesto produttivo ma che entrano nella vita privata delle famiglie e che per giunta risultano ora governabili con interfacce sempre più intuitive. Basti ricordare come cambiano i sistemi operativi negli anni ’80: dalle istruzioni scritte si passa al click sui vari oggetti nello schermo. L’euforia è alta ma le conoscenze e i metodi strutturati che hanno contraddistinto il modus operandi della Generazione X si confondono sempre più con le abilità degli “smanettoni”, per giunta in un contesto notevolmente più connesso rispetto al passato, nel quale la riservatezza di dati e informazioni subisce i primi violenti attacchi.
L’I-generation il digitale ce l’ha nel DNA, con tutto ciò che ne consegue. Non percepisce confini geografici nei moti migratori di dati e informazioni. Non percepisce il peso degli strumenti che impiega né si cura delle logiche che ne permettono il funzionamento. Non percepisce il confine tra vita reale e presenza on-line, fermando il tempo in uno stato di costante, ininterrotta connessione con il mondo, durante la quale l’identità reale e quella virtuale si mescolano pericolosamente. E nell’assenza della percezione di spazio, strumenti e tempo, trascura completamente il valore della sicurezza di dati e informazioni.
Se in termini di perdite economiche connesse al cyber crime i Millenial, travolti dall’euforia del loro tempo, hanno già dimostrato di non essere propriamente efficaci, quali saranno le conseguenze che produrrà l’I-generation sul business, se non adeguatamente formata?
Le esigenze di business in information security
Non è certo una novità che ormai proliferino gli appelli disperati delle organizzazioni alla ricerca di personale qualificato in materia di Information Security che non riescono però ad ottenere risultati apprezzabili. Ma se spesso, in fase di selezione, l’attenzione ricade sulle competenze, conoscenze e capacità professionali dei candidati, oltre che ovviamente sulle esperienze acquisite, è doveroso un approfondimento relativo alle soft skill, ovvero l’insieme delle abilità che riguardano la sfera dell’intelligenza emotiva e sociale delle persone.
Tanto è vero che l’e-CF (European e-Competence Framework), framework di riferimento delle competenze ICT che può essere usato e compreso in Europa da aziende ICT per la domanda e l’offerta di personale […] prende in considerazione anche questi fattori. Analizzandogli esempi di skill riportati nelle specifiche competenze incluse nell’area relativa alla pianificazione, ricorre, ad esempio, l’utilizzo di termini contrastanti che appartengono ad abilità individuali e profili comportamentali in alcuni casi molto distanti tra loro. Da una parte ci sono espressioni quali analizzare, determinare, identificare, rivedere, comprendere. Dall’altra contribuire, comunicare, negoziare, anticipare.
Ponendo in relazione questi due distinti insiemi con le caratteristiche dell’I-generation precedentemente descritte, c’è quindi da chiedersi quanto sia ampio il divario tra caratteristiche innate e le capacità desiderate, quanto sia elevato lo sforzo per colmarlo e quali siano le strategie più efficaci per farlo. E non si può commettere l’errore di pensare che il secondo insieme d’espressioni sia molto più prossimo alla Generazione Z rispetto al primo. Basti riflettere sull’influenza che i social media possono esercitare sull’educazione, considerando che ciò che appare comunicare, spesso, non è altro che l’abilità di indossare una maschera, allontanando di molto le distanze tra le persone vere, il negoziare sulle ideologie di frequente sfocia nell’odio in nome della libertà d’espressione, lasciando più spazio agli hater che ai diplomatici, e il contribuire nella maggior parte dei casi è la scusa per aggregarsi a un gruppo nel disperato tentativo di potersi mettere in evidenza.
In conclusione, la liquidità del nostro tempo, unitamente all’innata capacità di quest’ultima generazione di surfare tra vita reale e reti, ma senza mai soffermarsi a riflettere sui rischi che comporta, potrebbe costare tanto, forse troppo in termini di perdite economiche relazionate con la carenza di sicurezza nel trattamento delle informazioni. L’educazione alla cultura digitale è solo una piccola porzione di una strategia più ampia che dovrebbe includere probabilmente un’attività di recupero di modelli educativi ormai demodé, ma che in passato hanno dato i loro frutti. Insomma, in assenza di una riorganizzazione strutturata e radicale dei modelli educativi e formativi, al momento dell’inserimento nel mondo del lavoro di quest’ultima generazione, le perdite economiche per le aziende potrebbe divenire insostenibili.
Articolo a cura di Alberto Buzzoli
Promuove sinergia, creatività ed innovazione progettando metodologie e strumenti per connettere strategie di business, modelli d’organizzazione, sistemi di gestione e tecnologie dell’informazione. Si occupa di governance aziendale, risk management, compliance e incident handling – formazione specialistica e comunicazione incluse – in ambito di sicurezza integrata, con particolare approfondimento in materia di sicurezza delle informazioni e protezione dei dati personali.
E’ specializzato nella progettazione e nell’auditing di servizi CRM per il mercato bancario, assicurativo e finanziario.
