Se per difenderci dal cybercrime riteniamo che affidandoci sui numerosi corsi di sensibilizzazione, sulle severe istruzioni contenute nelle policy e procedure, allora abbiamo perso in partenza.
Colgo spunto da un recente episodio personale, che qui di seguito sintetizzo, e che mi consente di fare successivamente una riflessione.
Mi è pervenuta una email da una nota associazione culturale che mi ha scritto, in risposta ad una mia precedente comunicazione, una breve email nella quale mi ha chiesto di dare uno sguardo all’allegato documento.
In questo caso, sappiamo che le regole richiedono di:
- controllare l’indirizzo del mittente: se è noto, se il dominio corrisponde a quanto afferma il messaggio (ad esempio se è DHL che scrive, vedere se il dominio è DHL); ho controllato ed era tutto corretto;
- leggere il testo della email per vedere se vi sono errori grammaticali o comunque in una forma che non corrisponde allo stile del mittente, specialmente nei confronti del destinatario; nulla da eccepire in questo caso;
- verificare se l’oggetto: è coerente ed è scritto bene nella lingua usata, se è coerente con il mittente e quanto affermato nel corpo del messaggio; nessuna osservazione;
- infine, se vi è un allegato, è bene non aprirlo e salvarlo sul pc in modo da farlo controllare dall’antivirus.
A questo punto il mio antivirus aprì un pop-up e mi avvertì di aver messo in quarantena il file in quanto contenente un malware.
Ho pertanto avvertito il mittente del problema, e, ora, vorrei fare una breve riflessione.
Prendiamo in considerazione un professionista, un dirigente o un dipendente di una azienda ed immaginiamo che questi apra il computer aziendale a casa sua o in viaggio, e veda fra la posta una email, analoga a quella che è arrivata a me, in risposta ad un messaggio suo o della sua società. Secondo voi, seguirà TUTTI i miei passi sopra riportati?
Siamo sicuri? Lo farà SEMPRE? Anche quando sarà sotto pressione per una consegna urgente?
Analogo discorso lo possiamo fare per altri casi, quali: dare inavvertitamente a terzi informazioni senza riflettere che sta mettendo a repentaglio la sicurezza; smarrire – per la fretta – documenti importanti; eccetera.
Dove voglio arrivare? Se per difenderci dal cybercrime riteniamo che affidandoci e confidando: sul software, sui numerosi corsi di sensibilizzazione, sulle severe istruzioni contenute nelle policy e procedure, sulle minacce di licenziamento in caso di violazione, siamo convinti che così facendo salvaguardiamo la sicurezza dell’organizzazione, allora abbiamo perso in partenza!
Tutto quanto testé elencato è necessario, ma non è sufficiente: è solo l’inizio, la base, la piattaforma di partenza. Per la resilienza di una organizzazione diverso è l’approccio.
Bisogna dare per scontato che l’errore o l’inganno siano una realtà.
La metodologia insegna che si deve partire da una domanda: «Qualora mi dovesse accadere l’evento “X”, che impatto economico e reputazionale avrei? Me lo potrei permettere, considerato il “risk appetite” ed il “risk tolerance”?».
Se la risposta è negativa, allora l’organizzazione deve ragionare in modo olistico, con il business, e individuare le opportune misure di protezione, di gestione dell’emergenza (inclusa la comunicazione), e di ripristino.
Tutto ovvio? Vogliamo domandarlo alla forza trainante di questo Paese, ossia alle piccole e medie imprese?