Sviluppare la cyber resilienza nelle PMI attraverso consapevolezza e conoscenza

Nell’ambiente sempre più globale e interconnesso in cui le organizzazioni si trovano a operare, l’importanza della tecnologia digitale si è storicamente sviluppata in modo direttamente proporzionale rispetto a quella della sicurezza informatica (Kankanhalli et al., 2003). Dal momento in cui la prima è aumentata, sia in volume sia in complessità, anche gli attacchi cyber si sono evoluti e, di conseguenza, le aziende hanno dovuto affrontare sempre più rischi (He, 2013). Una ben nota affermazione di John Chambers, ex CEO di Cisco, recita: “There are two types of companies; those that have been hacked, and those who don’t know they have been hacked”. Gli esperti concordano sul fatto che le organizzazioni non devono essere pronte a un eventuale attacco, ma al prossimo.

A oggi è, quindi, impossibile per le aziende gestire i propri sistemi informativi e i processi organizzativi senza dedicare una attenzione elevata ai sistemi di sicurezza informatica (Paananen et al., 2020). Le società contemporanee e i loro modelli sono sempre più esposti a eventi straordinari e imprevedibili (Pettit et al., 2013). La pandemia di covid-19 è probabilmente uno degli scenari che ha avuto maggiore impatto sulle organizzazioni, e sulla società più in generale, dal secondo Dopoguerra. Infatti, le regole di distanziamento sociale hanno causato una notevole accelerazione della rivoluzione digitale, facendo incrementare l’uso di internet per le comunicazioni e le transazioni di ogni tipo in molte aree del mondo e per le persone di ogni età e, quindi, anche per le organizzazioni. Le sfide legate alla pandemia hanno carattere sia tecnologico sia comportamentale: “Lo Smart working si è ormai imposto all’attenzione pubblica come uno dei fenomeni più dibattuti a livello socio-economico” (Pompa, 2021). Di conseguenza, l’aumento dei livelli di stress fa sì che i lavoratori tendano a essere meno reattivi e strategici nelle loro azioni; ancora, l’estensione dei confini fisici delle aziende ha indotto i dipendenti a utilizzare più dispositivi personali al di fuori dei luoghi di lavoro e questo può portare alla creazione di maggiori vulnerabilità.

Da un lato le organizzazioni si trovano da anni a dover fronteggiare attacchi informatici sempre più frequenti, sofisticati, mirati e coordinati (Farwell et al., 2011); dall’altro lato, però, le forme più semplici (come per esempio il phishing) rappresentano ancora il 63% del totale: “Si possono realizzare attacchi gravi di successo contro le loro vittime con relativa semplicità e a costi molto bassi, oltretutto decrescenti” (Clusit, 2019).

In molte organizzazioni si è instaurata la tendenza a pensare, erroneamente, che il livello di complessità di un attacco informatico sia direttamente proporzionale al suo impatto e alla probabilità di esserne vittima (Linkov et al., 2013). Inoltre, se è vero che l’attaccante può scegliere il tipo di offensiva, non altrettanto si può dire delle misure di difesa; per affrontare ogni tipo di minaccia informatica è, infatti, importante che gli sforzi difensivi siano completi (Bayuk e Horowitz, 2011). A oggi, quindi, sono necessari nuovi paradigmi per individuare le nuove forme di attacco cyber e mitigarne gli effetti (Skopik et al., 2016).

Sviluppare competenze e consapevolezza

In tale scenario è la cyber preparedness (Bodeau e Graubart, 2017), che indicheremo semplicemente con il termine “preparazione”, che sta emergendo come una competenza critica e centrale per la sopravvivenza e la crescita delle organizzazioni (Chatterjee, 2019). Questa abilità, che può essere considerata anche metodologica, permette all’azienda (Bodeau et al., 2010) di: caratterizzare le minacce informatiche che deve affrontare; determinare il livello di sicurezza da garantire per raggiungere con successo gli obiettivi di cybersecurity; facilitare la pianificazione strategica, stabilendo gli obiettivi per la protezione; definire le priorità riguardo la pianificazione degli investimenti in sicurezza.

Lo sviluppo di competenze funzionali alla preparazione necessita di un adeguato livello di consapevolezza che, con riferimento alla cybersecurity, è uno stato in cui gli utenti delle organizzazioni sono sufficientemente informati rispetto ai loro obiettivi in termini di sicurezza delle informazioni, dimodoché quest’ultima diventi un aspetto naturale delle attività quotidiane (Von Solms, 2000). La consapevolezza è, infatti, quell’attenzione continua e regolare che protegge l’organizzazione (Safa et al., 2015). Relativamente alla cybersecurity, si lega strettamente ai programmi di educazione, formazione e sensibilizzazione al tema (Security education and training awareness, Seta; Angst et al., 2017). La conoscenza, le abilità e la comprensione degli individui riguardo la sicurezza informatica, così come le loro esperienze, percezioni, atteggiamenti e credenze sono i principali fattori che poi influenzano il loro comportamento (Bada et al., 2015). In particolare, sono fondamentali per riconoscere le minacce, per ridurre i rischi e l’incertezza (Gafni et al., 2019).

Consapevolezza e conoscenza alimentano direttamente la cultura organizzativa (Schein, 1990) e, quindi, anche la cybersecurity culture (Schlienger et al.,2002). Questo aspetto dovrebbe essere integrato e correlato alla tecnologia. Quest’ultima è, infatti, creata e utilizzata per l’essere umano. Proprio per questo non può essere usata come unico elemento per gestire la complessità connessa alla cybersecurity. Le soluzioni tecnologiche potrebbero paradossalmente rendere l’azienda più vulnerabile: come sottolineato in precedenza, gli attacchi, a oggi, possono essere effettuati tramite tecniche che, piuttosto che concentrarsi sui punti deboli delle macchine, puntano a individuare e colpire quelli umani. Molto spesso, infatti, le intromissioni esterne sfruttano i comportamenti errati degli individui (Leukfeldt, 2014). In questo caso, la consapevolezza in materia di sicurezza informatica comporta la necessità di affrontare le minacce digitali utilizzando la tecnologia insieme con fattori complementari (e non alternativi), come per esempio linee guida, politiche formali, processi organizzativi e strategie di educazione e sensibilizzazione.

Lo sviluppo di una cultura della sicurezza informatica comporterà una formazione, una comunicazione, una diagnosi e una valutazione continua, in modo da accrescere la consapevolezza di tutti i dipendenti, migliorare le competenze, colmare le lacune e garantire la responsabilità (Macmillan, 2017).