Di cyber-sicurezza si parla molto ma forse non ancora a sufficienza. Le aziende vivono il problema come un’emergenza continua. Ora sono anche alle prese con nuove e più stringenti normative e nuovi ruoli aziendali che impongono maggiore attenzione al rispetto della privacy e del trattamento dei dati personali. Il 2018 non è stato un anno tranquillo, ogni settimana ha visto qualche nuovo attacco che ha evidenziato la fragilità delle difese e la crescente capacità aggressiva dei cybercriminali. Il 2019 sarà diverso? Difficile dirlo ma facile prevedere che non lo sarà!

La sicurezza è il tema del momento.

Forse lo è meno nella percezione che l’individuo e il consumatore hanno del rischio, ma lo è sicuramente in quella di manager d’azienda, leader di mercato, dirigenti e responsabili dei dipartimenti IT aziendali. Tutti accomunati dalla percezione che i rischi siano in aumento così come lo è la criticità che essi determinano, in realtà sempre più complesse che non possono essere gestite con approcci tradizionali. 

Il tema è quello della complessità e del caos sempre possibile che obbliga a adottare modi di guardare alla realtà tesi a cogliere l’insieme, i fenomeni attrattivi e le tendenze emergenti. La complessità è implicita nelle Reti che hanno avvolto il mondo in una grande ragnatela, una rete delle reti sempre più complessa e difficile da gestire e navigare. 

La firma della complessità 

La complessità interessa anche la sicurezza e le tante vulnerabilità che la mettono a rischio, in realtà private come pubbliche, personali, professionali e aziendali. Il problema di come mettere in sicurezza dati e informazioni è a sua volta diventato sempre più complesso e interessa ambiti diversi quali:  

  • l’urgenza nell’individuazione delle vulnerabilità, dei rischi e degli attacchi,
  • la necessità di ottimizzare costi e benefici,
  • la ricerca continua della resilienza e della continuità operativa delle infrastrutture,
  • la gestione di reti di oggetti (Network of Everything) e non più solo di persone,
  • la capacità di determinare le interdipendenze critiche esistenti tra gli asset informativi da difendere,
  • l’allocazione delle risorse adeguate
  • la scelta degli strumenti più aggiornati ed efficaci
  • le policy da definire e fare rispettare
  • la definizioni di strategie adeguate a tempi che obbligano a fare i conti con il cambiamento e la diversità continua, con l’emergenza e l’imprevedibilità
  • e infine la capacità di fare delle scelte superando in velocità e in efficienza i tanti dilemmi che la sicurezza pone a ogni tipologia di organizzazione.

Le sfide emergenti nel 2019 

Se a dominare il 2019 sarà ancora la complessità crescente, determinata da un mondo sempre più interconnesso, da infrastrutture reticolari e reti di oggetti tra loro comunicanti, in ambito sicurezza le aziende dovranno fare i conti con nuove sfide. Saranno chiamate ad  adottare strategie e azioni finalizzate alla formazione, alla maggiore conoscenza, al rispetto delle nuove normative e al loro miglioramento, per rafforzarle contro nemici sempre più agguerriti, potenti, motivati e intelligenti, all’adozione e al miglioramento continuo di policy e di buone pratiche, in grado di elevare l’efficienza delle difese e l’eliminazione delle potenziali vulnerabilità esistenti. 

La complessità si presta per attività che abbiamo già visto praticate nel 2018 e prima, ad esempio in ambito politico. Da temere non è solo il furto di dati e di informazioni,ma l’abilità manipolatoria dei cybercriminali e le metodologie che usano per preparare il terreno, anche con tecniche di ingegneria sociale, a nuovi e più dirompenti attacchi.

La manipolazione mira a creare incertezza e insicurezza, anche cognitiva, nei bersagli scelti. Punta alla integrità dei dati e alla loro rilevanza nei processi di business. Dati e  informazioni manipolati possono servire a rovinare la reputazione di Marche e aziende, sono messi al servizio di strategie di attacco di medio e lungo termine e come tali sono più complicate da identificare e debellare.  

La complessità interessa anche la scelta delle persone giuste da portare in azienda per affrontare le nuove sfide.

Le aziende devono già oggi affrontare la scarsità di risorse e di skill disponibili sul mercato. La scarsità è ancora maggiore se si vuole adottare strategie capaci di stare dentro la complessità affrontandola con nuovi approcci, culture, metodologie e skill che sappiano comprenderne le leggi dettate dall’emergenza, dalla interdipendenza,  dalle reti, dall’auto-organizzazione e ricerca di equilibrio (omeostasi). Aziende con dipartimenti IT senza gli skill adeguati saranno più esposte a potenziali attacchi criminali. Lo saranno anche aziende con personale tecnico con competenze e skill elevati ma legati ad approcci superati. Lo saranno meno le aziende che calano la scelta del personale per la sicurezza in strategie dettate dall’approccio della complessità. 

Una delle specificità di ogni sistema complesso è di essere costituito da numerosi elementi tra loro interagenti, che cooperano o competono per entrare in possesso delle risorse esistenti. Vale per i mondi e gli organismi attuali così come per quelli virtuali, oggi rappresentati da Reti di Oggetti (IoT) e Reti delle cose che stanno trasformando, unitamente alle Reti di persone, in una rete globale di qualsiasi cosa.

Il 2019 vedrà un incremento esponenziale delle nuove realtà di reti degli oggetti, così come delle loro potenziali vulnerabilità. Le nuove sfide nascono da nuove generazioni di strumenti di attacco ispirati alle tecnologie di Intelligenza Artificiale, capaci di simulare i comportamenti degli esseri umani mettendo in difficoltà anche i guardiani più abili e le difese più intelligenti. Le aumentate abilità dei cybercriminali obbligherà a investire in sistemi per la sicurezza sempre più intelligenti ed equipaggiati con strumenti di Intelligenza Artificiale. 

I numerosi sistemi (piattaforme, realtà, ecc.) complessi delle tecnologie dell’informazione sono caratterizzati oggi dalla pervasività dei dispositivi (smartphone, tablet, PC, ma anche sensori, wearable, assistenti personali, device per smart cities e smart home, ecc.) e dalla compresenza e interazione continua di innumerevoli utenti. Un contesto perfetto per i cybercriminali che possono scegliere con cura i loro target potenziali, puntando sugli elementi più deboli e vulnerabili, meno attrezzati per proteggersi e resistere a un attacco, meno intelligenti per comprendere entità e grandezza del rischio. Nel 2019 le aziende dovranno prestare un’attenzione esagerata ai dispositivi degli utenti finali con l’obiettivo di difendersi da attacchi ransomware, phishing e ingegneria sociale.

La complessità è ben nota anche ai cybercriminali che non a caso stanno diventando sempre più intelligenti, meno tracciabili e individuabili perché più capaci di sfruttare i vantaggi del Dark e del Deep Web, più organizzati e soprattutto creativi. Ad esempio con la creazione di call center percepibili come quelli esistenti o l’implementazione di applicazioni fraudolente pensate con il solo obiettivo di rubare dati e informazioni. Ad esempio i manager d’azienda amanti dei siti di dating dovrebbero sapere che alcuni di quelli in circolazione non sono propriamente affidabili, per la loro sicurezza e per quella delle aziende per cui lavorano. 

Complicato e complesso è diventato anche riuscire a identificare per tempo le vulnerabilità e le brecce che i cybercriminali sono riusciti a creare nelle difese alla sicurezza aziendale. Nel 2019 sarà critico e fondamentale individuare quali strumenti siano più adeguati alla prevenzione e alla individuazione degli attacchi così come delle potenziali vulnerabilità. Più che semplici strumenti potrebbe essere utile fare ricorso a piattaforme integrate come quelle proposta da BlackBerry con SPARK

Se le risorse messe in campo, le strategie implementate non sono comunque tali da eliminare l’incertezza e i rischi, anche nel 2019 alle aziende non rimane che sottoscrivere o potenziare le loro polizze assicurative. E’ una pratica che si sta diffondendo e che potrebbe permettere almeno la protezione degli investimenti fatti. Non è detto però che possano coprire i danni alla reputazione delle Marche o dei marchi, nei confronti dei clienti, dei partner, dei media e del mercato.