Avvicinandoci alla fine di questo 2020 e di tutte le sue ben note vicissitudini, che hanno investito in un modo o nell'altro la vita di ciascuno di noi, non possiamo non notare anche l'esplosione di casi di Cyber attacchi nelle aziende anche del nostro paese.
Certo, anche negli anni precedenti ci sono stati casi più o meno noti di attacchi e furti di dati in aziende del bel paese, ma quest'anno sono stati molteplici i casi di cyber attacchi e data breach in grandi aziende multinazionali che sono spesso finiti anche sui media nostrani e stranieri.
Ricordiamo i casi di Luxottica e Carraro di quest'estate, o quelli più recenti di Campari e Leonardo ad esempio: in molti casi non è stata una carenza tecnologica a creare le condizioni dell'incidente, ma il solito errore umano vuoi per distrazione, imperizia, o semplice ignoranza nel senso più ingenuo del termine.
Al di la delle questioni più prettamente tecniche e del "dare la colpa" a questo o a quello, è evidente che c'è un problema di Cyber Security nelle nostre aziende, a tutti i livelli, dal piccolo negozio alla grande multinazionale. E spesso questo problema viene affrontato (se viene affrontato) nel modo forse sbagliato, mi spiego.
Fino ad oggi in molti hanno considerato la Cyber Security un problema esclusivamente tecnologico. Molte aziende ad esempio hanno investito denaro in sistemi di sicurezza convinte di "essere a posto", spesso spinti da aziende che dicono di vendere "sicurezza" ma in realtà vendono solo appliance (firewall, ids, ecc..) con logiche vecchie ormai di un decennio. La tecnologia è sicuramente utile ma non è un factotum: si può hardenizzare un sistema al suo massimo, ma non si può evitare che un utente maldestro non ne scriva la password su un postit attaccato allo schermo.
Credo sia ormai evidente, ma ribadiamolo, che la Cyber Security è e deve essere affrontata come un tema multidisciplinare in cui interagiscono molteplici fattori di cui quello tecnologico è solo uno dei tanti ingranaggi. Il fattore umano, spesso trascurato, è invece un elemento fondamentale nella cyber resilienza di tutte le aziende.
Un augurio cyber quindi per il nuovo anno vuole essere quindi quello di ripensare la persona come elemento chiave della sicurezza IT e nella formazione di una cultura della cyber sicurezza innovativa, che non sia vista come il solito corso di formazione che "è inutile ma lo devi fare", ma piuttosto come una preziosa assicurazione sulla vita digitale di ciascuno di noi e delle nostre aziende.