A fronte di minacce in crescita, le capacità difensive di un’azienda dipendono solo in parte dalla tecnologia. Servono infatti sensibilità verso i nodi della cybersecurity e volontà di rispettare le procedure. Così i C-level diventano promotori fondamentali per una cultura della sicurezza estesa a tutto l’organigramma, come spiega Massimiliano Luraghi, Senior Manager di Horizon Security.
Who's Who
Massimiliano Luraghi
L’anello debole è il fattore umano
«Il tema della consapevolezza – esordisce – è centrale: soprattutto negli ultimi tempi, abbiamo potuto appurare che il fattore umano è l’anello più debole della barriera difensiva, per qualsiasi tipologia di azienda, di grandi e piccole dimensioni».
L’evoluzione tecnologica, anche con l’introduzione dei sistemi automatici, ha permesso di rafforzare la sicurezza dal punto di vista tecnico. Così gli attaccanti, cercando di massimizzare i ritorni, puntano altrove, dove è più facile ottenere successo. «A fronte di una infrastruttura di sicurezza estremamente articolata ed efficace – prosegue Luraghi -, basta la “leggerezza” di un utente che apre un allegato malevolo perché inizi il disastro. Pertanto, nel tentativo di fare breccia, per un attaccante è preferibile studiare le logiche, l’organigramma e la struttura dell’azienda. Reperire informazioni sui dipendenti oggi è semplice perché le imprese fanno tanta comunicazione e ad esempio, pubblicano sui social media nuovi ingressi e promozioni. Chiaramente, le figure appena assunte o fresche di ruolo, che ancora si devono orientare nel nuovo contesto, sono un bersaglio più facile. Le prede più appetibili invece sono i C-level, perché, essendo figure apicali, hanno molti più privilegi rispetto all’utente medio: compromettere l’account di un top manager significa insomma avere molte più possibilità di manovra e ottenere maggiori risultati. Inoltre i C-level hanno spesso accesso a informazioni strategiche rilevanti: pertanto possono essere studiati in maniera passiva per diverse settimane, per poi sferrare l’attacco con tutte le dovute attenzioni».
Il termine utilizzato per attacchi informatiche che agganciano le persone con telefonate o mail truffaldine per indurle a compiere un’azione si definiscono di social engineering. Questa tecnica è diventata quella più utilizzata per aggredire i dipendenti aziendali, soprattutto dopo che l’emergenza Covid-19 ha obbligato le aziende al lavoro da remoto, favorendo il ricorso al cloud e la disgregazione del perimetro. «Durante la pandemia – sottolinea Luraghi – abbiamo assistito all’esplodere di campagne di phishing molto aggressive perché una situazione socialmente nuova è humus fertile per il proliferare di queste truffe».
Cybersecurity, come e perché sensibilizzare i top manager
Nello scenario complesso della cybersecurity, agire sul fronte della formazione è dunque fondamentale. Le attività di training sono sempre più richieste, segnale che, come sostiene Luraghi, “le aziende stanno prendendo consapevolezza del problema”.
«Se la componente tecnologica – prosegue – è stata oggetto di grandi investimenti negli scorsi anni, adesso la formazione sta guadagnando terreno, soprattutto quando diretta al board». Mentre gli utenti comuni sono il bersaglio di attacchi a tappeto, i C-level vengono colpiti con strategie mirate, come lo spear phishing o il cosiddetto whaling, la “caccia alle balene” che punta proprio ai “pesci grossi” ovvero alle figure apicali».
Alla categoria dei C-level appartengono imprenditori, le figure con maggiore anzianità nelle Pmi oppure i top manager delle grandi imprese, caratterizzati da fama ed esperienza.
«Sono personalità particolari – sostiene Luraghi -, che richiedono un approccio formativo differente. Innanzitutto, perché hanno poco tempo e pertanto, durante i corsi, bisogna andare dritti al punto. Inoltre, perché spesso vivono in un contesto tecnologico diverso dagli altri dipendenti: se l’utente medio utilizza Pc Windows e telefonino aziendali, con le soluzioni di sicurezza e le configurazioni previste dall’azienda, loro hanno un computer differente, come il Mac, e utilizzano il cellulare personale o un tablet per accedere ai servizi aziendali. Bisogna quindi mettere in sicurezza un account aziendale che viaggia su dispositivi difficilmente o diversamente presidiati, con tutte le sfide del caso».
Sensibilizzare i C-level nell’utilizzo dei device è pertanto la migliore opzione. «Per parlare a queste figure – riprende Luraghi – è consigliabile usare il linguaggio dell’enterprise risk management, che trascende la questione tecnologica e si concentra sulle conseguenze che un’errata gestione della sicurezza potrebbe avere sul business. Un altro argomento ben compreso dai manager è il rischio che potrebbero correre i parenti stretti, in quanto appartenenti alla sfera tecnologica domestica. Spesso infatti la rete casalinga viene condivisa con coniuge e figli, così il rischio che corrono i C-level per via del loro ruolo si ribalta sui familiari».
Alla materia del rischio si sommano, soprattutto nel caso delle aziende medio-grandi, anche gli obblighi di compliance, sempre più stringenti, che giocoforza hanno imposto ai manager una maggiore attenzione alla sicurezza nell’operatività quotidiana.
«L’esperienza infine – sottolinea Luraghi – è il fattore di maggiore persuasione. Sostanzialmente, attraverso esercizi e simulazioni, si costringono i C-level a misurarsi con scenari critici e incidenti. Si possono ricreare attacchi all’infrastruttura di rete e portare tutti i decisori all’interno di una war room, dove sono chiamati a definire rapidamente le azioni di risposta. Ad esempio, seguendo i piani di continuità, devono attivare linee alternative per garantire l’operatività, interagire con l’HR per richiamare il personale in ferie, dialogare con il CFO per dispiegare le risorse necessarie a gestire l’attacco e così via».
Insomma, messi di fronte a un’ipotetica crisi, i C-level capiscono che gestire la sicurezza non è un affare di mera tecnologia, ma soprattutto di business. «Per ripristinare o mantenere a galla i sistemi – ribadisce Luraghi -, sono innanzitutto necessarie tutte le loro competenze manageriali, prima che il team IT possa quindi intervenire e risolvere il problema tecnologico».
Le simulazioni e il ruolo del CISO
Nell’offerta formativa di Horizon Security, le esercitazioni possono avvenire sia attraverso le classiche simulazioni tecnologiche di un attacco, ma anche nella modalità “gioco da tavolo”, per cui ai C-level viene sottoposta una situazione critica e si chiede di cooperare per una possibile soluzione. «Dopo queste attività – dichiara Luraghi – l’impresa tende ad aumentare gli investimenti in sicurezza, che rappresentano la benzina vitale per proteggere gli asset aziendali. Da qui, il processo di cybersecurity si propaga orizzontalmente a tutta l’organizzazione: basta un C-level convinto per fare da volano a tutti i suoi riporti».
Se le imposizioni piovono dall’alto, spesso gli utenti cercheranno di svicolare: un Ceo è una figura troppo lontana con cui avere un dialogo, ma i C-level invece possono avere maggiore presa, instillando l’idea che migliorare la postura di sicurezza conviene anche dal punto di vista business. «Un’azienda che rispetta determinati criteri di sicurezza – argomenta Luraghi – è più appetibile sul mercato e può abbattere i costi, come le spese di eventuali incidenti o l’ammontare dei premi assicurativi.
Nel processo di sensibilizzazione alla cybersecurity, il CISO (Chief Information Security Officer) ha un ruolo chiave. «È una figura – prosegue Luraghi – presente ormai nella quasi totalità delle aziende, come mostrano i dati del Politecnico di Milano, che può avere formule più o meno dipendenti dal mondo IT. Tra i suoi compiti c’è anche quello di portare costantemente all’attenzione del board il tema della cybersecurity, con un linguaggio meno tecnico e più manageriale. Il CISO, poiché detiene contezza di dettaglio sull’ambiente tecnologico aziendale e un’alta sensibilità sui temi del business, è il principale promotore delle attività di formazione». Il CISO ha insomma un ruolo di mediatore, in grado di spiegare la tecnologia su un piano comprensibile al business e di tradurre le necessità del board al personale tecnico.
«Come Horizon – evidenzia Luraghi – sappiamo parlare a entrambi i mondi, IT e business, sia durante i percorsi formativi sia più in generale nei vari processi della cybersecurity. Possiamo essere così un supporto per il CISO nell’avvicinarsi al board e sviluppare le iniziative di sicurezza, ma anche un facilitatore per il board nel comprendere le necessità degli addetti alla sicurezza».
