Frutto di un lavoro corale sviluppato da un team di esperte di cyber-security, guidate da Nicola Sotira, direttore generale della Fondazione no-profit GCSEC (Global Cyber Security Center) e responsabile del CERT di Poste Italiane, Il fattore umano nella cyber security è un interessante manuale che offre un punto di vista originale sulle metodologie e sugli strumenti più efficaci che le aziende sono chiamate ad adottare per diffondere una maggiore consapevolezza nell’uso del web e dei nuovi sofisticati strumenti di comunicazione, di cui tutti disponiamo. Nel contesto mutante della “quarta rivoluzione”, attraversato da luci e ombre, il cyber spazio è la prima frontiera da presidiare, che ci fa vedere quanto sia difficile trovare un equilibrio sostenibile tra la libertà che innerva e nutre la democrazia e la sicurezza, da cui dipende la sua stessa tenuta. Non vi sono target “protetti”, i sistemi di difesa che aziende e Istituzioni devono mettere in atto, devono focalizzarsi su due aspetti: il prepotente progresso scientifico e tecnologico che sta modificando i modi di concepire e praticare il lavoro, e l’aggiornamento costante dei saperi e delle professionalità che operano nell’ambito della cyber-security, cui viene ormai riconosciuto un valore strategico, tanto da figurare ai primi posti nell’agenda di molti Stati nazionali, in uno scenario geopolitico in costante divenire.
Vivere on life
«L’accelerazione imposta da digitale ha messo in evidenza come il problema della sicurezza cyber sia oggi uno dei problemi da affrontare per garantire un’efficace transizione dall’analogico al digitale – scrive Nicola Sotira nell’introduzione del volume –. Sono proprio le Istituzioni e le organizzazioni produttive le realtà che oggi hanno una maggiore probabilità di ricevere attacchi di phishing o ransomware, mentre molti dipendenti/clienti non sanno nemmeno che cosa significhino queste due sigle». È l’individuo l’anello debole di una catena di comunicazione e connessione che investe tutti gli aspetti salienti della nostra quotidianità. “OnLife”, il responsabile del CERT di Poste Italiane utilizza più volte questo neologismo coniato nel 2013 da Luciano Floridi per fotografare, nella maniera più fedele possibile, la nuova condizione socio-esistenziale in cui tutti ci troviamo, proiettati in un orizzonte che richiede conoscenza degli strumenti, consapevolezza, padronanza dei linguaggi, misura.
La terribile emergenza sanitaria di questi giorni, la crisi più grave dal secondo dopoguerra ad oggi, rende ancora più forte il messaggio di questa ricerca, che insiste in ogni sua parte sulla centralità della competenza e sul valore professionale che manager e imprenditori devono esprimere, in ogni momento della loro delicata attività. Dagli aspetti psicologici e cognitivi, sezione del volume curata da Alessandra Rose, alle tecniche di costruzione per una campagna vincente di awareness, alla definizione delle aree di intervento e di presidio di strumenti hi tech sempre più sofisticati, come scrive puntualmente Elena Mena Agresti, il fil rouge della trattazione rimane il fattore umano, che va protetto, ma anche fortificato nel suo corredo culturale e professionale, che lo vede agire in una “giostra” multimediale certamente affascinante, ma anche densa di insidie.
Conoscere la sintassi dell’innovazione per padroneggiare i nuovi canali della comunicazione ‒ come spiegano Chiara Abbadessa e Sonia Ciampoli ‒ risulterà certamente decisivo, così come sarà fondamentale alzare le antenne per osservare l’universo dei giovani, come ricorda Marianna Cicchiello, quella generazione del pollice che sta “crescendo” dentro la Rete, e che la vive in una dimensione omeopatica, diventando purtroppo sempre più oggetto “privilegiato” dei reati più turpi messi in atto dal cyber crimine.
La necessità di un modello avanzato di awareness
Il lavoro di ricerca fa intravedere bene uno scenario molto articolato che vede le imprese al centro di molteplici fenomenologie del cambiamento, investite da un compito sfidante: affinare osservazione critica, motivazione, lucidità, attitudine all’innovazione, rapidità di intervento. Anticipare le situazioni di crisi può, infatti, generare un vantaggio competitivo in situazioni ambientali caotiche, per struttura lontane dall’equilibrio, in cui risulta particolarmente difficile la previsione di quelle componenti che sono in grado di minare l’integrità di reti e sistemi. Sarebbe perciò illusorio, di fronte alla complessità crescente, ipotizzare uno status di “sicurezza definitiva”, circoscritta in un perimetro limitato e rigido; diventa, proprio per questa ragione, di cruciale importanza l’investimento sulla qualità del fattore “umano”, quale elemento determinante per mettere in campo interventi efficaci di prevenzione, di governance del rischio e più in generale di awareness, finalizzati a far crescere la cultura della sicurezza ad ogni livello delle organizzazioni produttive .
Quello che in particolare si avverte, scorrendo le pagine del volume, è la necessità di costruire “un’intelligenza collettiva”, fatta di expertise, sensibilità, competenze. La società del rischio ‒ per usare la celebre definizione del sociologo tedesco Ulrich Beck ‒ ha infatti bisogno di regole, di comportamenti, ma anche di strumenti e codici che consentono di far parlare mondi e saperi diversi. Per raggiungere questo obiettivo, spiegano molto bene gli autori, non basterà in futuro lavorare all’interno delle organizzazioni produttive, risultando utile un confronto costante con tutto ciò che avviene fuori dal circuito lavorativo. Affermare un modello avanzato di security by design è sicuramente una delle mission principali che GCSEC sta cercando di promuovere e portare avanti: in quest’ottica diventano importanti la progettazione di momenti di incontro, seminari di approfondimento, giornate di studio, mostre tematiche, iniziative di coinvolgimento delle scuole e del mondo della ricerca, tutti aspetti su cui Elena Agresti si sofferma con dovizia di particolari, facendo riferimento alle diverse tipologie di attività praticate in Poste Italiane. Sono, infatti, molte le aree da presidiare: dalla posta elettronica, alle password, ai social network, strumenti straordinariamente delicati e importanti, che danno l’idea della fragilità intrinseca all’universo digitale, una fragilità che fa da complemento alla potenza tecnologica che è il tratto caratterizzante di quella “Società del rischio”, di cui Ulrich Beck ha offerto un insuperato ritratto.
Verso la cittadinanza digitale
Mettere in campo metodologie adeguate di misurazione ‒ come ricorda Michela Cristiani nel capitolo conclusivo del volume ‒ è un ulteriore imprescindibile banco di prova, se si vogliono migliorare i livelli di performance insieme alla qualità generale di protezione degli asset tangibili e intangibili dell’impresa e, cosa non secondaria, modificare le tante cattive abitudini in cui tutti continuiamo a indulgere, addetti ai lavori e non. Le illustrazioni di Fabiana Totti iconizzano, con dosata ironia e leggerezza di tratto, le regole da osservare, i comportamenti a rischio, l’importanza delle password, facendo comprendere al lettore come la sicurezza, oltre ad essere una delle grandi questioni del nostro tempo, è un valore universale, di cui abbiamo bisogno come l’aria per svolgere tutte le nostre attività.
L’originale concezione della Security Awareness che si fa strada, seguendo il percorso narrativo proposto dagli autori, proietta, in conclusione, una diversa luce sul compito del security manager del futuro, che si muoverà sul terreno della interdipendenza e della complessità, toccando con mano la progressiva trasformazione del suo ruolo, destinato a evolvere da sentinella posta a presidio della tecnologia a responsabile di più àmbiti interdisciplinari, impegnati nella delicata missione di catalizzatori della crescita della cittadinanza digitale, categoria inedita dell’esistenza, destinata a innestarsi in un orizzonte sociale e giuridico e ancora tutta da esplorare.