È molto difficile individuare qualche elemento positivo nella drammatica situazione che stiamo vivendo. Eppure, nell’ambito della cyber security ve ne sono almeno due: consapevolezza e disponibilità al cambiamento. È proprio vero che gli attacchi informatici, anche al sistema sanitario, stanno aumentando oppure adesso ce ne rendiamo conto perché i servizi informatici sono divenuti essenziali e quindi ogni malfunzionamento è rilevato immediatamente?
Il telelavoro generalizzato, ottimisticamente definito smart working, rende consapevoli del fatto che il lavoratore e non la struttura fisica è il perno cruciale della sicurezza informatica. Ci si preoccupa del fatto che un lavoratore da casa non possa garantire lo stesso livello di sicurezza di quando è in ufficio, ma la verità è ben diversa: almeno il 95% degli attacchi informatici a un’organizzazione passa attraverso manager, dipendenti, fornitori, contrattisti, consulenti. Se la protezione garantita dal luogo di lavoro aziendale protegge solo dal 5% dei moderni attacchi, nella realtà il telelavoro non cambia molto la postura di sicurezza di un’azienda, ma rende consapevoli della centralità dell’uomo, dei suoi dispositivi, dei suoi comportamenti e delle modalità di gestione e protezione dei dati propri e aziendali.
Era così anche prima, ma non c’era consapevolezza. Pertanto, ben venga lo smart-working in quanto sono fiducioso che le buone pratiche di sicurezza personale adottate a casa rimarranno anche quando si tornerà in presenza. Tali pratiche ci portano all’altro elemento fondamentale. La sicurezza informatica è un quadrifoglio con quattro elementi che indicherei nel seguente ordine di priorità: procedure, persone, tecnologie, controlli. Se non ci sono tutti i petali, “non porta fortuna”. Eppure, è estremamente difficile creare tale consapevolezza per due motivi: abbiamo sbagliato noi vent’anni fa a puntare tutto sulle tecnologie.
Quando poi abbiamo modificato le priorità, nessuno ci ha voluto credere, dove la parola chiave è il “volere”. Il motivo di tale rigidità, in realtà, era intuibile. Le procedure, le persone e i controlli hanno a che fare con l’uomo. Le tecnologie con gli acquisti. Cambiare il comportamento umano in un’organizzazione è difficile perché la quotidianità piace e chi prova a introdurre modifiche significative in azienda ha vita difficile, anche se è un manager, anche se è per un bene superiore quale il rispetto delle norme, la sicurezza dei dati, e la garanzia dell’operatività.
La rivoluzione digitale aveva già minato i fondamentali della nostra vita e delle nostre aziende, ma la maggior parte ha provato ad affrontarla minimizzando i cambiamenti invece di cogliere le opportunità. Ma poi, nel 2020 una crisi inaspettata ci ha colto all’improvviso e ha travolto in modo dirompente tutto e tutti. Il cambiamento sarà inevitabile e la tecnologia riprenderà il suo posto di abilitatore utile e talvolta indispensabile, ma non sarà la tecnologia a cui poter delegare le nostre decisioni.
Le tecnologie possono far sì che le decisioni adottate dal management possano essere praticate, ma la sicurezza informatica passa dalla consapevolezza e dai cambiamenti comportamentali. Quei cambiamenti, che i dipendenti non avrebbero mai accettato in quanto fonte di stress, sono oggi normalità. Tutti abbiamo capito che nessun posto di lavoro tradizionale è garantito e abbiamo colto il valore della sicurezza.
Dalle difficoltà nascono opportunità. Il bravo manager ha un’opportunità unica per promuovere i cambiamenti necessari a vincere la sfida dell’innovazione digitale e della sicurezza, che richiedono entrambi cambiamenti culturali, mentali e procedurali. La sicurezza del sistema Paese a tutti i livelli, lavorativo, informatico, finanziario, psicologico, non è diventata più importante a causa della pandemia. È diventata l’unica cosa importante cui tendere, adesso e nel futuro.
