Un recente sondaggio di PwC (PricewaterhouseCoopers) sulla Consulenza aziendale, che ha coinvolto 1.600 CEO in tutto il mondo nei mesi precedenti l’emergenza COVID-19, ha rilevato che gli attacchi informatici sono considerati il principale ostacolo alle prestazioni aziendali, seguiti dalla carenza di lavoratori qualificati e dall’incapacità di tenere il passo con i rapidi progressi della tecnologia.
Alcuni CEO hanno dichiarato di aver persino adattato le proprie abitudini online personali per proteggere se stessi e le organizzazioni che guidano: per esempio, hanno smesso di twittare e hanno cancellato i loro account da LinkedIn e da altri social media per ridurre l’esposizione delle loro aziende ai cyber criminali.
Questo è il segnale che sta maturando un livello di consapevolezza importante, ma è solo un piccolo passo. C’è ancora molto lavoro da fare nel settore aziendale. La pressione esterna è incessante. I danni alle aziende e ai consumatori provocati da cyber criminali aumentano costantemente. Le collaudate tecniche di hacking continuano ad essere altamente efficaci anche per sfruttare i punti deboli delle reti “legacy”, ovvero di sistemi di difesa altamente stratificati.
Basti pensare a MGM Resorts, la mega catena di hotel con sede a Las Vegas, che senza dubbio ha speso milioni per la sicurezza informatica. Tuttavia, i dati personali di oltre 10,6 milioni di ospiti che hanno soggiornato presso una struttura MGM Resorts a Las Vegas sono stati rubati e pubblicati il 19 febbraio scorso su un forum di hacking. Gli hacker sono stati in grado di accedere a un servizio in cloud sul quale erano archiviati i dati della catena di resort. Tra le vittime c’erano celebrità, amministratori delegati, giornalisti, funzionari governativi e dipendenti di alcune delle più grandi aziende tecnologiche del mondo: i loro nomi completi, indirizzi di casa, numeri di telefono, e-mail e date di nascita sono ora visibili nella Dark Net.
Utilizzando servizi in cloud per effettuare transazioni con dipendenti in remoto, fornitori e clienti di terze parti, le aziende hanno aperto infiniti vettori di attacco. Gli autori degli attacchi seguono la folla, quindi i servizi in cloud più popolari diventano anche per gli hacker risorse estremamente interessanti.
Zoom per esempio, la popolare piattaforma web per le videoconferenze, si è affrettata a rilasciare una serie di patch di sicurezza per ovviare ad un sistema di autenticazione debole che consentiva a soggetti non invitati di partecipare a chiamate in corso. Episodi simili purtroppo si verificano spesso.
Da due decenni, ondate di violazioni hanno fatto sì che la Dark Net si saturasse di dati rubati. Questi dati rubati sono stati utilizzati per truffe aziendali, frodi a scapito dei consumatori, manomissioni elettorali e attività di spionaggio informatico.
È giunto il momento che i CEO aprano gli occhi. La crescente consapevolezza dei consumatori aumenta la pressione e il loro disagio negli ultimi anni ha prodotto l’aumento delle norme relative alla divulgazione delle violazioni. Si pensi all’introduzione in Europa e in 47 Stati americani dell’obbligo della segnalazione in caso di perdita dei dati.
“Le nuove normative hanno aggiunto ulteriore controllo da parte delle autorità di regolamentazione e hanno aumentato le aspettative dei consumatori circa i provvedimanti che le aziende stanno adottando per mantenere privati i loro dati sensibili”, afferma Ambuj Kumar, CEO di Fortanix, Mountain View, fornitore di sistemi avanzati di crittografia con sede in CA. “Con i dati privati che ora si spostano tra data center, cloud pubblico e edge computing, aumentano i dirigenti senior che cominciano a ripensare la loro strategia di sicurezza dei dati”.
Acquisire una conoscenza pratica di come le vulnerabilità delle applicazioni vengono risolte durante il ciclo di sviluppo del software DevOps è di vitale importanza. La sicurezza dovrebbe essere presa in considerazione nelle prime fasi della fase di progettazione, a metà strada durante lo sviluppo e il collaudo, e nella fase finale della produzione.
Nell’era di DevOps, in cui le applicazioni dinamiche vengono sviluppate utilizzando una filosofia “fail fast” (ndr, termine che indica la distribuzione rapida di software a malapena utilizzabile per scoprire dove funziona o fallisce, in modo da rimediare al volo alle carenze), è diventato fondamentale per i CEO fare molto di più che smettere di twittare. In questo ambiente in cui sembra non ci sia mai tempo, ora spetta ai dirigenti dell’azienda acquisire una comprensione molto specifica e precisa di ciò che costituisce una solida igiene informatica e imporla laddove necessario.
Sarà interessante in futuro vedere quanti e quali leader aziendali si muoveranno in questa direzione e in quanto tempo.
Lascia un commento