Siamo vicini al nuovo anno e come sempre ci si dedica alle nuove previsioni. Tutti siamo impegnati nel valutare nuovi approfondimenti su quanto accadrà e su come potremo prepararci al meglio e i professionisti di ogni settore si stanno impegnando per offrire i più accurati spunti.
Per anni sono stato anch’io complice di questo processo ma, con il passare del tempo, ho capito che difficilmente si potevano individuare nuove previsioni ma si arrivava a semplici variazioni sul tema. Avevamo le basi per sviluppare una fantastica partita stile fantacalcio da giocare durante le festività natalizie e, nella versione del gioco dedicato alla sicurezza informatica, avremmo potuto trovare spunti come:
• Gli hacker continueranno a prendere di mira i dati delle aziende?
• I deepfake diventeranno più o meno convincenti grazie ai miglioramenti assicurati dall’AI generativa?
• Ci sono delle aree dove l’AI si dimostra essere meno efficace?
• Quali le strategie richieste per bloccare gli attacchi informatici sempre più sofisticati?
Le semplici previsioni, a mio avviso, sono inutili, in quanto servono solo a fornirci dettagli su ‘cosa e come potrebbe accadere’. Pochi approfondiscono ‘quando, dove, perché e chi potrebbe attaccarci’ e sono questi gli elementi che risultano realmente importanti.
Albert Einstein affermò: “Se avessi un’ora per risolvere un problema e la mia vita dipendesse dalla soluzione, passerei i primi 55 minuti a determinare la domanda giusta da porre poi, una volta che conosco la domanda corretta, potrei risolvere il problema in meno di cinque minuti”.
E le sue affermazioni sono perfettamente aderenti al tema della sicurezza informatica. Quando si tratta di gestire le sfide inerenti alle nuove minacce in rapida evoluzione, ritengo sia importante porre le domande qui sottoindicate a qualunque membro del consiglio di amministrazione delle nostre aziende.
1. Abbiamo le conoscenze necessarie per comprendere correttamente il rischio? Secondo un articolo della rivista Information Security, il Wall Street Journal ha rilevato che solo il 2,3 % dei direttori nei consigli di amministrazione delle società S&P 500 ha esperienza nella sicurezza informatica. In questo caso serve umiltà per poi rivolgersi a chi ha esperienza in materia.
2. I nostri dipendenti possono cadere in tentazione? Lapsus$, il famigerato gruppo di hacker, ha agito proprio in questo modo. “… Microsoft afferma che il gruppo ottiene l’accesso iniziale in vari modi, tra cui la corruzione dei dipendenti delle organizzazioni prese di mira, o dei fornitori o partner commerciali, per poter accedere alle credenziali e per ottenere l’approvazione dell’autenticazione a più fattori.” Non c’è bisogno di violare l’accesso quando si lascia la porta aperta in azienda. Occorre impegnarsi nell’incrementare la formazione sui temi di compliance e sui vari strumenti che consentano di bloccare l’ingresso in azienda.
3. Qual è il modo più assurdo in cui un malintenzionato potrebbe accedere ai nostri dati? Quante volte qualcuno ha detto: “Pensiamo fuori dagli schemi?” L’idea è di Norman Maier, uno psicologo del settore industriale americano, che ha coniato il concetto nel 1930. E scoprì che meno del 5% degli studenti universitari riusciva a ragionare fuori dagli schemi poiché vivevano in una stanza e non vedevano la foresta attraverso gli alberi. E’ importante creare un ambiente dove stimolare l’innovazione per aiutare i team responsabili della sicurezza a guardare al di là degli angoli e verso il futuro.
4. Stiamo affrontando le minacce più importanti o solo quelle urgenti?
Dwight Eisenhower, l’artefice dell’operazione ‘Overlord’ (nome in codice del piano di invasione dell’Europa che iniziò con lo sbarco in Normandia) durante la Seconda Guerra Mondiale, operò partendo da una semplice logica. “Ho due tipi di problemi: quelli urgenti e quelli importanti. Le cose urgenti non sono importanti e le cose importanti non sono mai urgenti”. Il suo principio decisionale era chiaro: solo le cose urgenti e importanti avevano priorità. Fatevi guidare da questo principio.
In sintesi, quando si tratta di cybersecurity, è difficile prevedere cosa accadrà nei prossimi 30 secondi, figuriamoci nel prossimo anno. Invece di fare una serie di previsioni per la fine dell’anno, occorre iniziare a porci domande impegnative per mettere a nudo le lacune nel nostro approccio alla sicurezza informatica e per spingerci a ottenere risultati positivi.
A cura di Morgan Wright, Chief Security Advisor di SentinelOne