La cyber security è un tema spinoso come pochi, e non solo perché il numero degli attacchi cresce di anno in anno, ma perché rispetto alle altre competenze digitali è ancora ritenuta da moltissimi manager una questione a cui non devono prestare particolare attenzione. Già nel 2014, nel loro studio Cybersecurity and Cyberwar, Peter Singer e Allan Friedman avvertirono: «Forse non esiste un problema che è diventato così importante, così rapidamente, che tocca così tante persone, e che rimane così poco compreso». Non si tratta solo delle famigerate password 12345678, oppure con date di nascita dei figli o nome del proprio animaletto domestico, è una forma mentis tanto generalizzata quanto difficile da scardinare.
Le tipiche resistenze cognitive di professionisti e manager possono essere sintetizzate in tre pensieri latenti:
1) Il pensiero latente del pigro disilluso: «È una roba da tecnici, non ci capisco niente e non ci capirò mai niente!».
2) Il pensiero latente dello struzzo businessman: «Lasciamo che se ne interessino gli smanettoni, che noi pensiamo al business!».
3) Il pensiero latente del radical-real (chi si ostina a pensare che la realtà sia solo quella fisica tradizionale): «Hacker, malware, phishing, worm, ... sono cose da nerd, non vivo mica in un film di fantascienza. Ho di meglio da fare che
preoccuparmi del mondo virtuale!».
Fino a circa un decennio fa, un’ignoranza diffusa sul tema non creava problemi insormontabili. Oggi è diverso. Il mondo è sempre più interconnesso. È questo significa che diventa sempre più hackerabile. Tutto ciò che è connesso a Internet può essere attaccato. Stiamo ancora vivendo la rivoluzione mobile, ma è già il turno degli oggetti “intelligenti” (cioè connessi a Internet) per la casa, diventati pop, accessibili e alla portata di regalo da un Natale all’altro. In tal modo la cosiddetta “superficie d’attacco” cresce a dismisura. Smartphone, tablet, macchine che si guidano da sole, termostati e frigoriferi, braccialetti bluetooth e altoparlanti wireless. Questo solo per parlare della vita fuori dall’azienda. E dentro le imprese?
Ogni azienda, grande media o piccola, potrebbe subire un attacco, e in verità moltissime l’hanno già subìto. Spesso, quando le persone ICT dell’azienda lo scoprono, non possono comunicarlo all’esterno per ovvie questioni di reputazione verso i clienti. Il che porta a credere che le esfiltrazioni di dati sensibili e le brecce ai sistemi siano una rarità e non un rischio continuo. Gran parte del successo degli attacchi non è causato tanto o solo dai software malevoli, quanto da noi stessi, dal fattore umano. La maggior parte delle crisi cyber inizia con un semplice messaggio di posta elettronica che qualcuno scarica perché non ha il grado minimo di consapevolezza. Tutto ciò non significa che ogni singolo professionista debba trasformarsi in esperto di sicurezza informatica, ma che oggi serve con urgenza una cultura di base all’interno di aziende e agenzie.
Per i non addetti ai lavori la cyber security è, come per le altre competenze digitali, un insieme di maturità e abilità digitale.
Nello specifico:
1) Maturità digitale (la consapevolezza).
2) Conoscere i rischi della sicurezza online, capire perché proteggere i dati e i sistemi connessi.
3) Abilità digitale (dal sapere al saper fare).
4) Sfruttare tecniche e strumenti per muoversi a lavorare in rete in modo più sicuro.
I criminali informatici sfruttano psicologia, comportamenti e abitudini umane per raggiungere i loro obiettivi. Si tratta di una branca di studio in espansione: è l’ingegneria sociale. Per capire di cosa si tratta, si può partire leggendo un testo altamente irriverente e altamente educativo. Il titolo è «Il fantasma nella rete - La vera storia dell’hacker più cercato del mondo».
L’autore è Kevin Mitnick, appunto, l’hacker più cercato del mondo.
* Senior Consultant e Digital Strategist, Newton Spa
© Riproduzione riservata