Il mercato ha invocato a gran voce una chiamata alle armi: o si diventa più produttivi velocemente, abbattendo i costi e conservando competitività, o c’è la morte. Le aziende hanno recepito il messaggio e raccolto la sfida; molte con strategie simili. Non a caso Cyber Security e CSR svolgono un ruolo significativo nel panorama degli investimenti, mostrando trend in […]
Il mercato ha invocato a gran voce una chiamata alle armi: o si diventa più produttivi velocemente, abbattendo i costi e conservando competitività, o c’è la morte. Le aziende hanno recepito il messaggio e raccolto la sfida; molte con strategie simili. Non a caso Cyber Security e CSR svolgono un ruolo significativo nel panorama degli investimenti, mostrando trend in continua evoluzione.
Bisogna aumentare gli investimenti, avvisa Zapparoli Manzoni – membro del comitato direttivo del Clusit –, per scongiurare la crescente erosione dei benefici correlati al processo di digitalizzazione della società. Perché quanto investito sinora non è sufficiente a rallentare la crescita dei danni in termini di perdite economiche, di reputazione e diffusione di dati sensibili. A tal proposito si registra infatti un inquietante +8,35% rispetto al II semestre del 2016, come riporta l’Associazione Italiana per la Sicurezza Informatica nel comunicato stampa del 4 ottobre.
Si è moltiplicata in modo esponenziale la superficie vulnerabile, per quantità di sistemi interconnessi, per la durata delle connessioni, per la crescente complessità della catena di fornitura implicata e per la proliferazione di dispositivi nei quali sistemi enterprise e personali si fondono. Inoltre, ad aggravare la situazione, contribuisce anche la crescente disponibilità di manualistica per sferrare attacchi fai-da-te e di centri web specializzati in CaaS (Cybercrime as a Service).
C’è però un dato che preannuncia il fallimento della stragrande maggioranza delle strategie d’investimento, quasi interamente orientate alla tecnologia: +85% di violazioni per phishing e social engineering. Questi sono vettori d’attacco che colpiscono in un’area di vulnerabilità ben precisa, che con l’informatica ha poco a che fare: l’essere umano.
Non c’è nulla da fare. L’uomo, per lo smisurato spirito critico di cui dispone, che però applica quando vuole e a volte un po’ a casaccio, è naturalmente propenso al rifiuto delle regole. Rigetta i moniti condivisi da chi ha più esperienza, perché il desiderio di creare la propria strada è irrefrenabile. Ha un’infinita brama di autonomia, di libertà, di creatività. Poco importa se rischia di scoprire l’acqua calda oppure, ancora peggio, di cadere rovinosamente, trascinando con sé i colleghi e nei casi più disastrosi l’intera azienda.
Il prof. Carlo Cipolla, specialista di storia economica, aveva le idee chiare al riguardo quando diede definizione formale allo stupido – ovvero colui che inconsapevolmente provoca danno a se stesso e agli altri – e mise in risalto l’imprevedibilità delle azioni che compie.
Chi si occupa di Cyber Security conosce bene Le leggi fondamentali della stupidità umana (Carlo Cipolla, Il Mulino, Bologna 2015); tenta quindi di fissare quanti più paletti possibile e attivare il maggior numero di controlli. Tralasciando i casi di errori operativi e le azioni premeditate degli insiders, è l’inosservanza delle regole, spesso per leggerezza o pigrizia, a consentire ai vettori di attacco di natura sociale un funzionamento a pieno regime.
Il controllo assume quindi il ruolo di uno strumento a tutela del patrimonio aziendale, preservando direttamente le informazioni – da intendersi come asset immateriali – e indirettamente i lavoratori stessi. Infatti, qualora le informazioni sensibili dovessero subire una significativa perdita di disponibilità, integrità o riservatezza, ne potrebbe derivare un danno così elevato da non poter essere economicamente gestito dall’azienda che le custodisce, se non con un taglio consistente dei posti di lavoro. Ma è anche uno strumento di tutela individuale del lavoratore: una manovra sbagliata e la violazione del codice penale è dietro l’angolo; poco importa se non era intenzionale.
Se il controllo è a tutela dell’azienda e del lavoratore, nonostante le modifiche all’articolo 4 della legge 300/1970 in adeguamento al contesto digitale, la percezione generalizzata, specie quella dei lavoratori, è sempre rivolta a inquadrarlo come un mezzo di vessazione, lesivo della privacy che reclamano a gran voce. Per di più, a complicare la questione, c’è l’atteggiamento garantista e la mancanza di leggiadria di tanti principi del foro nel muoversi in un contesto normativo un po’ spinoso, oltre al perseverante approccio ostativo dei sindacati.
L’etico e sostenibile va di moda, e i numeri lo confermano. L’Osservatorio Socialis – testata specializzata – rileva con il VII rapporto CSR in Italia che l’80% delle imprese italiane con più di 80 dipendenti si dichiara attivo in questo contesto e che gli investimenti, monitorati dal 2001 a oggi, hanno superato il miliardo e 120 milioni di euro.
Le attività di responsabilità sociale, tralasciando l’ambiente e il risparmio energetico, si concentrano principalmente sul miglioramento delle condizioni lavorative e sul benessere dei dipendenti. Ad esempio ha riscosso particolare successo l’aggiornamento normativo di quest’anno che declina i requisiti del lavoro agile nel contesto dei rapporti di lavoro subordinati.
Insomma, sotto il cappello della CSR la gerarchia diventa network e il controllo in sé diventa un positivo affido di responsabilità; in ogni caso un altro modo per risparmiare soldi. Liberarsi di parte dei costi d’infrastruttura decentralizzando il luogo di lavoro, di quelli legati alla gestione amministrativa del personale, di quelli derivanti dalla gestione giudiziale dei contrasti tra lavoratori e aziende, sono solo alcuni esempi di strategia.
Nonostante sia legittimo e comprensibile, nel rispetto delle normative vigenti, che l’imprenditore applichi le tattiche più idonee per assicurarsi profitto, anche attraverso l’abbattimento dei costi, questi è anche tenuto a operare e promuovere una gestione diligente dell’attività imprenditoriale. La domanda che deve porsi – come farebbe un buon padre di famiglia – è: “Ho fatto tutto quello che potevo per garantire che l’azienda e le persone che vi lavorano possano operare in modo sicuro e tranquillo?”.
E proprio come succede per due fratelli che hanno bisticciato, Cyber Security e CSR sono destinate a rivolgersi la parola anche se è da tanto che non si parlano. Poco importa se la prima risulta più antipatica ai dipendenti per la propensione a negare piuttosto che concedere, mentre l’altra si presenta in modo più amichevole: sono ambedue strumenti utili alla tutela e allo sviluppo del business, ed entrambe tendono a tutelare azienda e lavoratori, ciascuna a proprio modo.
Condividere con superficialità le foto dei figli minori è un pericolo e può costituire reato. Intervistiamo l’esperto della Polizia Postale Rocco Nardulli: “Postare certe foto è follia, la rete non dimentica”.
La vicenda dell’attacco hacker alla Regione Lazio non è ancora finita. Analizziamo l’incidente e la situazione attuale, facendo i conti con le spese regionali in cyber sicurezza, i loro scarsissimi effetti, e il danno provocato ai fondi pubblici.
Con lo smart working i criminali informatici attaccano le aziende attraverso le reti domestiche: la digitalizzazione rende la cyber security ancora più fondamentale.