La sicurezza delle informazioni è stata una parte intrigante del nostro passato, è una parte fondamentale del nostro presente e sarà un fattore determinante per il nostro futuro. Ci sono azioni che devono essere affrontate a livello micro/individuale e sfide che dobbiamo affrontare in modo collaborativo.

L’economia della sicurezza è chiara: “Non c’è stabilità finanziaria senza sicurezza informatica” scrive Loretta J. Mester, Presidente e CEO della Federal Reserve Bank di Cleveland. In effetti, è stato dimostrato che la percezione di una scarsa sicurezza informatica riduce il prezzo delle azioni, danneggia la reputazione del marchio, riduce la quota di mercato, riduce le vendite, aumenta le spese legali e rende più difficile assumere dipendenti talentuosi. Guardare con speranza e tranquillità al futuro significa padroneggiare la sicurezza delle informazioni.

Il percorso verso la futura padronanza della sicurezza delle informazioni richiede di:

Riconoscere le responsabilità/responsabilità individuali

Rendere esplicite le convinzioni individuali sull’infosec

Praticare una buona igiene informatica

Prestare attenzione alla supply chain del software

Rafforzare i componenti della tecnologia operativa

Non più spettatori

Per quasi tutta l’era digitale fino ad oggi, la sicurezza delle informazioni era uno sport per pochi appassionati. Lavoratori, clienti, dirigenti e membri del consiglio sedevano essenzialmente sugli spalti, mentre i maghi dell’informazione (ovvero i professionisti della sicurezza) combattevano i cattivi rimanendo nell’ombra.

Andando avanti però, tutti coloro che utilizzano un dispositivo devono essere coinvolti nella sicurezza informatica ed è per questo che ognuno ha un ruolo e un corrispondente insieme di responsabilità in materia di sicurezza delle informazioni.

Prevedo che entro la fine di questo decennio le responsabilità per la sicurezza delle informazioni saranno esplicitamente specificate per ogni individuo di età superiore ai cinque anni. Alla fine di ogni giornata, trimestre, anno e carriera, i dirigenti saranno giudicati e premiati/puniti se hanno migliorato o degradato la sicurezza informatica della loro comunità e del loro posto di lavoro. Non è mia intenzione “incolpare l’utente” per tutti i nostri problemi informatici. Tuttavia, dobbiamo assicurarci che ogni individuo nell’azienda sappia di avere un ruolo da svolgere nella sicurezza delle informazioni.

Pensare, dire, fare

Non è necessario essere futuristi, psicologi o antropologi per sapere che spesso c’è un’ampia discrepanza tra ciò che le persone pensano, ciò che dicono e ciò che fanno. In futuro, la sicurezza informatica riguarderà meno l’informatica e più le scienze comportamentali.

La sicurezza delle informazioni richiede infatti un comportamento diverso. Per cambiare il comportamento, dobbiamo gestire ciò che le persone sanno e come le persone pensano alla sicurezza delle informazioni. Per fare questo, dobbiamo capire cosa sanno le persone della sicurezza delle informazioni.

Credenza, conoscenza e cambiamento di comportamento sono indissolubilmente legati. Il primo passo consiste nel valutare accuratamente ciò che ogni dipendente dell’azienda crede sulla sicurezza delle informazioni. Questo può essere ottenuto solo attraverso interviste pratiche condotte dai manager. Prevedo che i risultati di tali valutazioni persona per persona faranno emergere due convinzioni fortemente radicate e totalmente errate sulla sicurezza delle informazioni:

Non sono importante e nessuno mi prende di mira

Non posso fermarli anche se volessi

Praticare l’igiene informatica di base

Ognuno di noi ha bisogno di promuovere e praticare una buona igiene informatica. L’igiene informatica include, ma non si limita a, buone pratiche per le password, solidi processi di patching delle vulnerabilità, rilevamento tempestivo, prevenzione e correzione, messa in atto di protezioni per prevenire e bloccare i malware e garantire solidi protocolli di accesso.

La partecipazione a queste best practice contribuirà notevolmente al miglioramento della sicurezza generale. Secondo il rapporto Microsoft sulla difesa digitale del 2021, quasi il 70% delle violazioni dei dati è stato causato dal phishing e il 98% degli attacchi può essere prevenuto con un’igiene informatica di base.

Sfide del settore

Man mano che assumiamo le responsabilità individuali per buoni comportamenti di sicurezza delle informazioni, possiamo aspettarci che il focus degli attacchi informatici si sposterà. Due aree da tenere d’occhio sono la tecnologia operativa e la supply chain del software.

I professionisti della sicurezza avvertono da anni di attacchi potenzialmente devastanti alla tecnologia operativa (linee di produzione di impianti, tecnologia di produzione, servizi pubblici, ascensori, termostati, luci e veicoli). L’attacco a Colonial Pipeline è stato un campanello d’allarme per molti. Un altro attacco come quello alla rete SolarWinds ha messo sotto i riflettori la sicurezza della supply chain del software.

Lo sviluppo di software moderno è stato paragonato al fare una torta. All’insaputa di molti dirigenti, i componenti della “torta software” non sono tutti generati internamente. Abili hacker hanno capito che è molto più redditizio hackerare un componente software installato in migliaia di aziende piuttosto che violare le stesse migliaia di aziende. La grande preoccupazione dell’immediato futuro della sicurezza delle informazioni è quindi che i componenti software ampiamente distribuiti potrebbero essere stati compromessi.