Nell’attuale contesto di digital transformation, in cui le aziende sono sempre più data driven, è importante ripensare la sicurezza senza rallentare la produttività del personale. Il perché è presto detto.
Indice degli argomenti
Una normale quotidianità
Proviamo a pensare, per un attimo, alle persone che hanno la responsabilità di garantire la cyber sicurezza della nostra azienda. Tralasciamo per un momento i problemi e le lamentele, per quanto siamo certi che ve ne siano. Ogni giorno i custodi dei sistemi e dei dati hanno l’ingrato compito, da una parte, di bilanciare la produttività e la facilità d’uso e dall’altra garantire requisiti di sicurezza efficaci.
Come fare per dare la giusta priorità alla sicurezza senza caricare il personale di infiniti processi, documenti e password?
La realtà non è così semplicistica, ma se gli utenti reputano che le misure di sicurezza restringano eccessivamente la loro produttività, allora proveranno a scavalcarle o evitarle. Il che non migliora certo la situazione in termini di rischi e vulnerabilità.
Come se il compito di bilanciare esigenze così contrastanti non fosse già delicato di per sé, esso va oltretutto svolto all’interno di uno scenario in costante cambiamento.
Le cyber minacce sono in perenne evoluzione ed emergono pericoli sempre nuovi. Un esempio lampante arriva dalla pandemia di COVID-19, quando molti dipendenti hanno dovuto lasciare i confini sicuri delle reti corporate e iniziare a utilizzare risorse potenzialmente meno sicure, come i dispositivi e le connessioni di casa propria, per poter accedere ai dati e ai sistemi aziendali.
Gli hacker hanno sfruttato questa tendenza, utilizzando come gancio tematiche attuali che riflettevano le nuove circostanze. Sono circolate enormi quantità di e-mail di phishing che promettevano informazioni esclusive sulla COVID-19; siti web fasulli che spingevano gli utenti a inserire credenziali, password e dati bancari per false donazioni, finte iniziative di sostegno economico e prestiti o contributi governativi totalmente inventati. E non tutte le aziende sono state in grado di implementare fin da subito la giusta infrastruttura dotata di misure di sicurezza appropriate.
Rafforzare la sicurezza IT ha un prezzo
Ma non siamo troppo indulgenti. Possiamo probabilmente essere d’accordo sul fatto che le modalità con cui gli utenti vivono la sicurezza possono risultare frustranti e che i cyber specialisti debbano ammettere di essere parzialmente responsabili di una tale situazione.
Molte cose che gli utenti vogliono – devono – fare nel corso della giornata lavorativa fanno sentire insicuri gli specialisti della cyber sicurezza: come, per esempio, utilizzare i dispositivi personali privi di software antivirus aggiornato o chiavette USB di ignota provenienza che possono potenzialmente infettare intere infrastrutture aziendali.
Ecco perché le aziende sviluppano policy che proibiscono di usare cose del genere. L’intenzione è quella di rendere difficile la vita ai cyber criminali, il che talvolta produce però l’effetto collaterale di ostacolare la produttività dei dipendenti. Ma le persone devono lavorare, e questo porta quasi inevitabilmente a definire policy apposite per casistiche che rientrano tra le “eccezioni”. Tempo qualche settimana e tutti quanti avranno richiesto un’eccezione per sé, con la conseguenza di fare a pezzi il sistema originale.
Oltre che costringere gli utenti a sottostare a processi laboriosi per poter adoperare l’IT, la cyber sicurezza può addirittura impedire l’accesso all’IT stesso – come quando blocca l’impiego di risorse cloud potenzialmente utili. Come mai? A fianco del lato positivo del cosiddetto “shadow IT”, esiste anche un lato negativo che ne inficia la resilienza.
Le varie divisioni aziendali hanno adottato servizi cloud senza considerare cyber sicurezza e infrastruttura IT in modo olistico. Perché mai avrebbero dovuto? Non è una loro responsabilità. Ma quando si tratta di questioni come la protezione e la privacy dei dati e attività come il backup e la replica dei dati, la mancata applicazione delle regole corporate può provocare una serie di complicazioni, alcune delle quali effettivamente molto gravi.
Quel che peggiora addirittura le cose è che gli utenti fanno regolarmente esperienza di misure di sicurezza maggiormente avanzate o pratiche nell’ambito della propria vita personale. Tutti abbiamo provato la semplicità del riconoscimento del volto o dell’impronta digitale per sbloccare un telefono, e la troviamo assai più pratica rispetto a una policy aziendale che ci costringa a cambiare la password ogni 90 giorni.
Un modo migliore?
Deve esserci una maniera migliore. Dobbiamo creare un’esperienza di livello consumer protetta da uno strato aziendale quanto più sicuro possibile.
Sono, queste, esigenze quasi diametralmente opposte che producono una tensione di difficile soluzione: creare una user experience migliore implementando nel contempo le misure di sicurezza richieste da aziende che lavorano in Paesi diversi e con partner esterni è davvero una sfida.
Una semplice considerazione economica ci dice, inoltre, che un qualsiasi sistema di nuova realizzazione è destinato a restare al suo posto per un bel po’ di tempo, il che significa che risulterà probabilmente sempre datato ogni volta che sarà messo a confronto con la tecnologia consumer del momento.
Su una cosa possiamo essere d’accordo: la situazione nella quale ci troviamo oggi non è più adatta allo scopo.
La sicurezza deve parlare il linguaggio del business
I dipartimenti IT mettono solitamente a punto lunghi documenti di policy, costringendo i dipendenti a leggerli con cadenza annuale. Ma questo elenco di cose da fare e da non fare ha bisogno di tradursi in qualcosa di maggiormente dinamico.
Si tratta di un cambiamento enorme, ma i cambiamenti necessari stanno iniziando ad arrivare. Tutto questo conduce al fatto che gli aspetti della sicurezza legati alle persone sono spesso più complicati di quelli tecnici.
Paradossalmente, le nuove tecnologie possono rendere le cose ancora più frustranti per gli utenti.
Ciò che occorre è un cambiamento nella cultura della sicurezza che consideri gli utenti più come se fossero dei consumatori. Bisogna superare, ad esempio, il modello del classico corso sulla sicurezza organizzato una volta all’anno, per passare a soluzioni che siano più interessanti, coinvolgenti e durature per i dipendenti.
Anche i prodotti che i vendor offrono ai propri clienti devono seguire gli stessi principi di sicurezza e flessibilità, componendo un sistema integrato che include tutto l’hardware e il software necessari per la realizzazione di un’infrastruttura IT iper-convergente in modo semplice, essendo tutto preconfigurato, testato e pronto all’uso.
A questo è poi possibile aggiungere soluzioni per ottimizzare l’infrastruttura unificandone la gestione per renderla più semplice e sicura, che tutelano gli endpoint dagli attacchi malware e zero-day, permettendo all’utente di gestire tutti gli ambienti virtuali in esecuzione in modo semplice e fluido.
Per riuscire a far questo i team di business e i team della sicurezza devono collaborare insieme, capire e concordare quali rischi siano inevitabili (pianificando le misure di sicurezza appropriate) e quali rischi invece siano più grandi di qualsiasi possibile beneficio. La sicurezza deve parlare il linguaggio del business.
Capire il contesto della sicurezza
Come punto di partenza, la cyber sicurezza deve occuparsi meglio degli utenti. I privilegi di accesso vengono attualmente generati servizio per servizio o sistema per sistema. Questo approccio è troppo grossolano e complicato. Oggi ci saranno meno riunioni in presenza, ma la necessità per gli executive di accedere ai sistemi corporate da remoto rimane. I divieti a tappeto sono impraticabili e inutili.
La sicurezza si sta spostando verso regole basate sui ruoli personali mappando i comportamenti che sono ragionevolmente attesi da ciascuno e applicandoli dinamicamente. In molte aziende questo viene già fatto, per lo meno in maniera rudimentale. Ciò che facilmente manca sono i profili dei ruoli sensibili al contesto, creati dinamicamente per differenti tipologie di utenti che accedono ai dati al di fuori del normale orario di lavoro.
Nuovi ruoli della “digital experience” assistono il cambiamento in atto nell’IT aziendale modellato sulla base dell’ambiente consumer, dove i servizi e i prodotti dispongono di “campioni” esperienziali per far sì che quello che viene fornito sia effettivamente ciò che gli utenti desiderano e di cui hanno bisogno.
Per l’utente Enterprise questa non è solamente una questione estetica: l’obiettivo è quello di proteggere i flussi di valore prodotti dal modo in cui le persone lavorano e di aggiungere valore mappando i workflow da un capo all’altro.
La strada da percorrere deve vedere la cyber sicurezza e i responsabili dell’Enterprise experience integrare la giusta sicurezza direttamente nella fase del design.
Verso una nuova cultura della sicurezza
Il nuovo metodo: emulare il lancio di un prodotto consumer. Guardare all’esperienza complessiva del “cliente” e integrare il design della sicurezza come parte del workflow generale del valore. Se disponiamo di un responsabile della digital experience allora abbiamo un punto di partenza per aggiungere valore alle persone che generano valore.
Ma gli utenti ricoprono anche un proprio ruolo. I team incaricati della sicurezza possono lavorare quanto vogliono per rendere ogni cosa ’sicura per design’; eppure, a meno che gli utenti non si assumano la loro parte di responsabilità, nessuna quantità di tecnologia smart potrà mai mantenere un’azienda totalmente al sicuro.
Quando si ripensa al modo in cui ciascun dipendente può contribuire alla postura di sicurezza dell’organizzazione e a costruire una cultura che integra completamente una sicurezza intuitiva, tutti svolgono un ruolo essenziale.
