Interventi

Come sarà the day after per la cyber security

di Alessandro Curioni

(Reuters)

3' di lettura

Il mondo sarà molto diverso dopo il Coronavirus, ma guardandosi allo specchio sarà in grado di riconoscersi? Ecco una banale esemplificazione: quando tutto sarà finito qualcuno potrebbe domandarsi se vale la pena “rischiare” di uscire di casa per andare al lavoro? Allora avrà capito come quanto faceva in ufficio lo abbia svolto con gli stessi risultati restando a casa e avrà scoperto che la prima causa di morte sul lavoro sono gli incidenti stradali. Il tema dello smart working, poi, diventerà un dossier molto interessante per tutte quelle organizzazioni che sono state in grado di proseguire con le proprie attività, permettendo a gran parte del suo personale di lavorare da remoto (a casa o altrove). La riduzione dei costi legata alla gestione degli spazi potrebbe rappresentare un risparmio significativo da un lato e dall'altro garantire ai propri dipendenti una migliore qualità della vita. Chissà che la nostra drammatica crisi non finisca per proiettarci tra i paesi all'avanguardia nell'utilizzo delle tecnologie dell'informazione. Tuttavia se questa improvvisa convergenza di interessi dovesse produrre i suoi effetti positivi e sbocciare come una rosa, nessuno potrà permettersi il lusso di sottovalutare le sue spine, almeno chi si occupa di cyber security. In questo contesto le implicazioni non sono poche.

In primo luogo, si assisterebbe al passaggio dalla scomparsa “del perimetro” a quella “del castello” ovvero una situazione in cui, complici altri trend tecnologici (il cloud computing), gli utenti di un'organizzazione potrebbero accedere ai propri strumenti software di lavoro in modo autonomo e pressoché completamente al di fuori del controllo dell'organizzazione. Nel frangente, le questioni potrebbero riguardare il controllo della corretta esecuzione del lavoro e la possibilità di verificare l'aderenza alle politiche aziendali in materia di utilizzo dei dispositivi, che si vanno a combinare con le prescrizioni dello Statuto dei Lavoratori e le normative in materia di protezione dei dati. Un secondo aspetto riguarda l'accesso a quelle risorse che sono ancora sotto il diretto controllo dell'organizzazione, quindi non in cloud, e tutti quei dati che l'utente conserverà sui suoi dispositivi. In tal caso in cyber security si dovrà parlare di “user centricity” per cui le contromisure tecnologiche dovranno concentrarsi sulla periferia dei sistemi e non più al centro. Per quanto negli ultimi anni gli attacchi informatici spesso abbiano utilizzato come punto di ingresso proprio gli utenti, non a caso il phishing nelle sue varie forme resta sempre la prima minaccia, rimane il fatto che un soggetto operante “fisicamente” all'interno dell'organizzazione risulta meno vulnerabile di uno situato all'esterno. In questa seconda circostanza, alle minacce logiche (falsi messaggi, malware, etc.) si aggiungono anche quelle fisiche (furto o smarrimento di dispositivi, danneggiamenti accidentali, etc.). Naturalmente nulla di tutto questo è una novità perché il cosiddetto lavoro in mobilità non è un fatto nuovo, la differenza come spesso capita è nei numeri. Se lo smart working dovesse diventare la modalità lavorativa standard si passerebbe da qualche centinaia di migliaia di lavoratori saltuariamente operativi in questa modalità a qualche milione in modo permanente. In questo caso chi dice “fatto per uno, fatto per tutti” trascura problemi tecnici (la capacità di un'infrastruttura tecnologica di sopportare particolari carichi di lavoro), gestionali (il supporto remoto agli utenti), organizzativi (nel rivedere i processi e i relativi controlli di sicurezza) e derivanti da vincoli normativi (la già citata normativa sulla protezione dei dati e lo Statuto dei Lavoratori). Tuttavia il tema ultimo della user centricity nell'ambito della cyber security finirà per rimanere quello che da qualche anno alcune organizzazioni (purtroppo non tutte) hanno compreso: senza formazione e consapevolezza adeguate non esiste alcuna sicurezza possibile. A proposito della prima, parafrasando una ben nota pubblicità potremmo dire: la potenza è nulla senza il controllo, ma senza conoscenza non può esserci controllo. Rispetto alla seconda: è impossibile garantire la sicurezza di qualsiasi dispositivo se l'utente spegne il cervello nel momento esatto in cui lo accende.

Loading...
Riproduzione riservata ©

loading...

Brand connect

Loading...

Newsletter

Notizie e approfondimenti sugli avvenimenti politici, economici e finanziari.

Iscriviti