Il ruolo centrale delle persone nella sicurezza informatica

Negli ultimi tempi abbiamo sentito parlare, sempre più spesso, di "Digital Workplace", il luogo virtuale che consente la collaborazione e la gestione del loro lavoro minimizzando la discontinuità tra l'ufficio fisico e quello digitale.

All’interno di questi uffici virtuali, gioca un ruolo fondamentale la Intranet che rappresenta quello che potremmo definire un abilitatore chiave della remotizzazione della forza lavoro. Con l’avvento della pandemia, l’adozione di strumenti, modelli e processi aziendali che consentissero un’ampia – se non totale, in alcuni casi – possibilità di lavorare anche da remoto è diventata cruciale per la sopravvivenza delle aziende. Sotto questa pressione, lo sviluppo massivo dei Digital Workplace e la loro estensione ed integrazione alla totalità dei processi aziendali ha visto una enorme crescita e spesso si è stati costretti a dare priorità alla loro attivazione e alla produttività a discapito della sicurezza.

A seconda della tipologia di azienda, della dimensione, dei valori in gioco e della sua importanza strategica, le minacce rilevanti possono essere diverse. In generale possiamo distinguere tra "cybercriminals" (ovvero soggetti che vogliono sottrarre informazioni o accedere a risorse per trarne profitto illecito), "cyberspies" (soggetti che vogliono sottrarre informazioni senza che il danneggiato ne sia consapevole) e "script kiddies" (coloro che, per diverse motivazioni, dal vandalismo all'attivismo politico al divertimento e senza una particolare preparazione, sfruttano strumenti reperibili in rete per attaccare sistemi digitali).

Ed è proprio la crescente facilità di procurarsi strumenti di offesa e risorse per attivarli che rende queste minacce un rischio reale per ogni tipologia di impresa.

Queste minacce possono trovare un varco nella principale debolezza del sistema: il fattore umano. In effetti alcune delle principali minacce sfruttano le vulnerabilità di questo "vettore":

• l "phishing" che si appoggia sull'inganno delle persone;
• "scan & exploit” che rappresenta la ricerca di comuni vulnerabilità di configurazione, si appoggia sull'errore e la disattenzione delle persone;
• l'uso non autorizzato di credenziali che si basa sulla possibilità di sottrarle a persone impreparate o distratte.

Ma i problemi non finiscono qui. Molti, infatti, sono legati all'esperienza offerta ai dipendenti dagli strumenti di produttività, dalla loro organizzazione e dalla loro messa in sicurezza. Le persone, in particolare se focalizzate sul loro lavoro, tendono ad aggirare ogni ostacolo per portare a termine la propria attività. Per cui se gli strumenti di collaborazione non sono efficienti o se la loro sicurezza li rende inutilizzabili, tenderanno a scovarne di alternativi generando quello che viene chiamato "shadow IT", cioè un insieme di mezzi tecnologici che sfuggono al controllo dell'azienda e quindi alle sue policy di sicurezza.

A questo si aggiunge, inoltre, il fatto che la pandemia abbia accelerato la smaterializzazione degli uffici. Una spinta alla remotizzazione che ha modificato il perimetro aziendale, estendendolo fino ai domicili dei dipendenti e quindi rendendo ancora più complessa la gestione della sicurezza, sia in termini di protezione dell'infrastruttura (hardware, software e dati), sia in termini di fattore umano; molti lavoratori in remoto hanno ammesso di essere soggetti a maggiori distrazioni quando lavorano da casa.

E allora, cosa possiamo fare concretamente? Prima di tutto, avendo chiaro che le persone hanno un peso nel livello di sicurezza del sistema, è importante che assumano un ruolo attivo nei processi di gestione della sicurezza stessa, attraverso una specifica formazione che puntualizzi la sua importanza e chiarisca le aspettative dell'azienda nei loro confronti. Ed è vitale, inoltre, che sia incentivato un clima di collaborazione piuttosto che di repressione, per evitare di generare paura nel riportare eventi potenzialmente dannosi.

È importante, poi, offrire un Digital Workplace che consenta di vivere un’esperienza di lavoro semplice ed efficace. In che modo? Ad esempio tramite l’uso di quelle che potremmo definire operazioni base, come uno sblocco biometrico. Dal punto di vista dell'utente l'esperienza è quella ad oggi ormai consueta di appoggiare un dito sullo smartphone o farsi inquadrare il volto per ottenere l'accesso. Dal punto di vista della sicurezza si tratta di nascondere la complessità di gestire correttamente il sistema ed integrarlo nel Digital Workplace.

La partita della sicurezza informatica è una vera sfida per tutte le aziende, sia perché, di per sé, è un problema sempre più rilevante, sia perché le nuove condizioni di lavoro remoto aumentano esponenzialmente i livelli di rischio che possono essere mitigati grazie a due fattori: formazione ed esperienza user friendly. E sarà sempre il fattore umano a fare la differenza.