Senza una cultura aziendale sulla sicurezza informatica o cybersicurezza nessuna soluzione o strumento tecnologico sarà in grado di offrire la protezione e la sicurezza di cui ogni organizzazione ha bisogno. La cultura serve a favorire la conoscenza, a suggerire maggiore (tecno)consapevolezza e attenzione, a adottare nuovi approcci e buone pratiche nell’uso della tecnologia. Consiste nell’accettare e assumersi le responsabilità che servono per implementare misure difensive efficaci ed efficienti, sia in termini di prevenzione sia analitiche e predittive. Come cantava Leonard Cohen, in ogni cosa c’è una vulnerabilità. Per il poeta è fonte di rischio e di vita insieme. Per la sicurezza il sapere che esiste e il conoscerla è il primo passo per valutarne la pericolosità e decidere cosa fare per renderla inoffensiva.

 

Un campo di battaglia esteso

La proliferazione delle nuove tecnologie, dalle infrastrutture Cloud alle applicazioni, dalle reti aziendali a quelle degli oggetti, ha dato luogo a un territorio di caccia esteso, più difficile da difendere e potenzialmente più attaccabile dall’esterno. Anche per questo la cybersicurezza è diventata una priorità massima per tutte le organizzazioni. 

In passato l’investimento in strumenti di difesa è stato prevalentemente di tipo tecnologico. Oggi grande enfasi è data al fattore umano e alle vulnerabilità a esso associate. Non è un caso che i cybercriminali che hanno avuto successo abbiano fatto ricorso a attacchi Phishing o di Ingegneria Sociale, mirati a sfruttare il fattore umano come intermediario strumentale per la riuscita dell’attacco. Un semplice click, spesso dettato dalla fretta e dalla incapacità a resistere al meccanismo stimolo/risposta a cui la tecnologia ci ha abituati, finisce così per diventare un cavallo di Troia più pericoloso e subdolo di quanto non lo sia un malware o un virus software dentro una APP.  

La cultura della sicurezza

La cultura della sicurezza gioca in ogni organizzazione un ruolo centrale, più dell’imposizione di policy per la sicurezza o il richiamo a buone pratiche persistenti. Meglio puntare sulla resilienza delle persone nella loro esperienza quotidiana tecnologica e sulla formazione continua, in particolare finalizzata a aggiornamenti continui sulle nuove tipologie di cybercrimini e rischi informatici. 

Costruire una cultura della sicurezza non è una semplice dichiarazione d’intenti o una pratica di comunicazione interna all’organizzazione. Richiede investimenti, tempo, programmi e iniziative mirate a coltivare conoscenza e (tecno)consapevolezza, a suggerire comportamenti e atteggiamenti utili alla difesa, contestualizzati in ogni ambito lavorativo, ruolo aziendale e responsabilità individuale. Richiede anche la sensibilità e la lungimiranza che servono per motivare e coinvolgere attivamente stakeholder e dipendenti dell’organizzazione nell’apprendimento di una cultura per la sicurezza percepita come necessaria, utile e conveniente. La cultura favorirà la condivisione delle esperienze, delle conoscenze, delle buone pratiche e delle idee. 

La formazione necessaria

La formazione è il primo passo verso la costruzione di una cultura della sicurezza. Non può essere episodica ma perseverante nel tempo, accompagnata da iniziative di comunicazione e aggiornamento continue e strutturata con sistemi di valutazione e monitoraggio efficaci. Deve adottare forme didattiche personalizzate, innovative, motivanti e interattive, collegate a esperienze d’uso nella vita reale delle persone. 

L’investimento non potrà essere insignificante, i danni derivanti da un attacco cybercriminale riuscito però potrebbero costare di più, anche in termini di immagine, reputazione e fedeltà della Marca.  L’investimento deve essere consistente perché si è ampliato di molto il terreno di scontro, il perimetro dentro il quale coesistono tecnologie tra loro molto diverse ma tutte interconnesse, sempre più complesse e in continua evoluzione. 

Investire sulla sicurezza è oggi percepito come necessario dalla stragrande maggioranza delle imprese, ma anche delle persone (otto persone su dieci si sentono meno sicure che in passato) che vivono ormai una crescente ambivalenza nella loro relazione con la tecnologia. Da un lato c’è la facilità d’uso e la convenienza di nuove tecnologie e piattaforme che migliorano la vita individuale, dall’altro si manifesta un crescente disagio, malessere e insicurezza. Non soltanto per la privacy violata e l’uso commerciale che viene fatto dei dati personali ma anche per l’esposizione a potenziali attacchi e violazioni. Diffusa è la percezione che non esistano luoghi o dispositivi sicuri e protetti, che la trasparenza richiesta dalle piattaforme tecnologiche sia una trappola così come lo sono le false verità e le fake news, le dipendenze derivanti da modalità d’uso e i comportamenti mediati tecnologicamente. 

L'insicurezza che aumenta

L’individuo si sente meno sicuro nella vita personale così come in quella aziendale. Come singolo ha la necessità di informarsi e acculturarsi meglio sulla cybersicurezza, i suoi rischi e strumenti di difesa. Come dipendente si aspetta che l’azienda per cui lavora gli/le fornisca la cultura adeguata per affrontare i nuovi rischi, prevenendoli o gestendoli al meglio in caso di attacchi riusciti. 

Come ogni cultura anche quella della sicurezza ha bisogno di solide radici, adeguate concettualizzazioni, pratiche reiterate, letture e conoscenze. A fare la differenza sarà però la consapevolezza che la trasformerà in una parola d’ordine. Vale per l’individuo tecnologico così come per ogni azienda o organizzazione.