Umanesimo e olismo, anche in smart working: così si combatte il cyber crime
Il repentino incremento del lavoro in modalità agile ha prodotto una notevole estensione del perimetro che le organizzazioni sono chiamate a presidiare per garantire la protezione dei dati personali trattati e la sicurezza delle informazioni. Ma senza un approccio multidisciplinare, orientato a valorizzare il ruolo delle persone nella sicurezza e indirizzato al consolidamento delle buone pratiche già stabilite da tempo negli standard internazionali, potrebbe diventare una sfida pericolosa.
Come è mutato il contesto: organizzazioni e infrastrutture ICT prima e durante la pandemia
Dovrebbe essere ormai chiaro che dati personali e informazioni costituiscano un patrimonio immateriale di ingente valore. E dovrebbe essere ormai altrettanto chiaro che è più che doveroso perseguirne la salvaguardia attraverso un livello di robustezza dei sistemi – si noti bene, non solamente tecnici, ma anche organizzativi – impiegati per trattarli.
Per mettere a punto le adeguate strategie, tattiche e attività operative di protezione e sicurezza, è doveroso non dimenticare però un concetto fondamentale: la robustezza di un sistema (come fosse una catena) equivale a quella del suo anello più debole. È quindi sufficiente una falla per inficiarne interamente l’efficacia.
Parallelamente, è altresì doveroso constatare come il perimetro da tenere sotto controllo sia soggetto a un’estensione continua. Già nell’ultimo periodo dell’“era pre-pandemica”, con l’ampia diffusione dei servizi in cloud, si è reso necessario l’ampliamento dei controlli di sicurezza su una catena di fornitura di prodotti e/o servizi IT sempre più complessa. Infine, con la spinta fortissima all’impiego del lavoro agile impressa dalla pandemia, la questione è ulteriormente peggiorata, facendo aumentare ancora l’area da presidiare.
Ciò per tre motivazioni principali.
- Motivazione 1: l’ulteriore delocalizzazione di dati, persone e apparecchiature delle organizzazioni coinvolte.
- Motivazione 2: l’introduzione di sistemi e apparecchiature sui quali risulta difficile esercitare un controllo, in termini sia tecnici sia di implicazioni giuslavoriste.
- Motivazione 3: la diffusione di strumenti di lavoro, quali le web application, sempre esposte sulla “grande rete”.
Si noti che mentre la delocalizzazione, pur costituendo una vulnerabilità, rappresenta anche la grande opportunità di garantire in parte la continuità operativa in questa situazione emergenziale, le scarse indicazioni normative e organizzative circa l’impiego dei dispositivi e dei servizi IT costituisce di per sé una fonte di rischio elevata. È conosciuto il controverso tema sull’uso di dispositivi privati – non solo device, ma anche apparati di connessione e relative reti domestiche – utilizzati per accedere ai servizi aziendali (Bring Your Own Device) e sull’uso di servizi privati in cloud – per lo più strumenti di videoconferenza e file sharing – per trattare dati e informazioni aziendali (Consumerization Of Information Technology).
Infine per l’impiego delle web application, già costantemente esposte – e quindi attaccabili – è doveroso rilevare un’ulteriore criticità. Con l’efficienza e l’usabilità, parametri ampiamente potenziati dai vendor, non cammina di pari passo il concetto di privacy e security by design. La strategia di riduzione dei costi di produzione dei software, in termini di sicurezza, li fa girare come una macchina fuori controllo. L’uso esasperato di librerie di terze parti, l’omissione di code review indipendenti, la mancata conduzione di vulnerability assessment applicativi, l’impiego di controlli crittografici datati su canali e pacchetti dati, quando presenti, sono tutti elementi che concorrono a destabilizzare fortemente la sicurezza applicativa.
L’ENISA, ormai in veste istituzionale permanente dall’emanazione del CyberSecurity Act, è chiara nell’affermare che i professionisti IT sono chiamati a rispondere rapidamente ai cambiamenti introdotti, ogni volta che un dipendente utilizza internet da casa per accedere ad app in cloud, software aziendali, videoconferenze e sistemi di file sharing.
L’urgenza è chiaro derivi non solo dal rapido decorso dello sviluppo tecnologico verso una maggior efficacia, ma soprattutto da un’impennata del cybercrime e dalla crescita esponenziale della gravità delle conseguenze da esso provocate. A questo proposito è d’obbligo un riferimento al recente evento di cronaca che ha tristemente raccontato del decesso di una donna imputato al blocco dei sistemi informativi ospedalieri, compresi quelli classificati come critici, a causa di un attacco ransomware. Durante il periodo d’emergenza, le strutture sanitarie sono state tra le più colpite, come riporta l’ENISA nel Threat Landscape Mapping. L’ICT ha quindi sempre più a che fare con la vita (nel vero senso della parola) delle persone. Le potenziali ripercussioni in ambito politico, economico, sociale e psicologico, impongono un cambio di marcia in materia di sicurezza, soprattutto in direzione di un’ottica olistica, nella quale differenti discipline (security, safety, sicurezza ambientale e CSR) si fondono insieme, senza tralasciare nessun fattore che caratterizza il contesto; neanche quello del lavoro agile.
Variazioni imprescindibili per un approccio efficace alla sicurezza
In una buona percentuale di casi, gli investimenti compiuti in sicurezza di dati e informazioni si traducono quasi esclusivamente in soluzioni tecnologiche, trascurando l’ottimo indice di efficienza ed efficacia in termini di sicurezza che possono esprimere una radicata cultura organizzativa e il corretto comportamento delle persone che lavorano in un’organizzazione.
Per comprendere quanto il fattore umano sia rilevante, è sufficiente consultare il Threat Landscape 2020 dell’ENISA: tra i principali vettori impiegati per compiere attacchi informatici permangano malware e phishing, rispettivamente al primo e al terzo posto. Entrambe minacce che vanno a segno prevalentemente sull’errore umano non intenzionale e che fanno leva sulla pressione, sulla fretta, sulla distrazione, sulla scarsa consapevolezza del personale. Tutti elementi che si insinuano e proliferano molto bene in una labile organizzazione del lavoro, tra le frange di processi non sempre adeguati.
Ma il tempo dell’emergenza, almeno per quanto riguarda il mancato consolidamento di processi inclusivi delle modalità di lavoro in smart working, dovrebbe essere terminato. E le fonti di stress, di possibili disattenzioni ed errori nell’impiego sicuro delle apparecchiature e degli strumenti software messi a disposizione dall’organizzazione – o rimediati con tanta buona volontà dalle singole persone – dovrebbero ormai essere minimizzate. Ciò senza mai dimenticare quanto sia importante un costante monitoraggio delle attività e del clima nei gruppi di lavoro: eventuali disagi personali (lavorativi e non) possono divenire causa di attività fraudolente deliberate, compiute magari proprio dal personale interno. Attualmente la minaccia di attacchi compiuti da insiders si colloca al nono posto nel sopraccitato ENISA Threat Landscape.
Se il monitoraggio tecnico delle attività, specie di quelle realizzate dagli Amministratori di Sistema, costituisce un sistema finalizzato per lo più alla pronta “reazione” a un incidente di sicurezza, KPI (Key Performance Indicator) propri della social accountability possono invece assumere un’importante funzione preventiva, sia nell’ambito della produttività che della sicurezza delle informazioni. Del resto la vigente normativa giuslavorista, inclusa quella relativa al lavoro agile, fornisce alcune indicazioni sugli aspetti della responsabilità sociale da monitorare. L’importante è che i sistemi non funzionino a compartimenti stagni, ma apprendano a dialogare tra loro.
Conclusioni
Una chiara e coerente attribuzione delle responsabilità, una corretta comunicazione, un’efficace formazione e informazione, il consolidamento delle competenze e l’incremento della consapevolezza delle persone sono i cardini della security. Non a caso rappresentano anche i pilastri su cui poggiano tanto le normative in materia (es. GDPR) come anche gli standard internazionali (ad esempio, del mondo ISO).
A proposito di questi ultimi, non mancano specifiche indicazioni di lavoro, anche strettamente riferibili ai controlli di security per l’operatività in teleworking (ISO/IEC 27001, Annex A.6.2.2). L’importante è non farsi trascinar via dall’improvvisazione, nel tentativo di riscoprire ogni volta l’acqua calda: perché improvvisare per risparmiare può costare veramente molto caro. A volte troppo.
Articolo a cura di Alberto Buzzoli
Promuove sinergia, creatività ed innovazione progettando metodologie e strumenti per connettere strategie di business, modelli d’organizzazione, sistemi di gestione e tecnologie dell’informazione. Si occupa di governance aziendale, risk management, compliance e incident handling – formazione specialistica e comunicazione incluse – in ambito di sicurezza integrata, con particolare approfondimento in materia di sicurezza delle informazioni e protezione dei dati personali.
E’ specializzato nella progettazione e nell’auditing di servizi CRM per il mercato bancario, assicurativo e finanziario.
