IL FATTORE UMANO, TRA ERRORI E DOLO

Le perdite stimate per incidenti informatici nel 2016 ammontano a 108 miliardi di dollari. Chi reputa sopportabile quella cifra forse non tiene conto che l’importo è relativo esclusivamente agli 858 casi di data breach avvenuti soltanto negli Stati Uniti. Novecento milioni di euro sono la somma dei danni reputazionali e delle perdite in termini di fatturato che lo scorso anno, in Italia, ha caratterizzato il poco rassicurante bilancio complessivo degli infortuni digitali toccati in sorte alle aziende.

L’analisi dello scenario permette di identificare le cause principali di quanto sta accadendo, riconoscendo attacchi hacker e infezioni virus e malware nel 21% degli episodi ed evidenziando nel 75% dei casi la responsabilità a errori umani, negligenze, imperizia, disattenzione degli operatori.

Il vignettista John Klosser aveva disegnato già nel 2006 la spiegazione di tutto. Su un ring da pugilato ci sono da una parte le misure di sicurezza più diffuse (crittografia, firewall, antivirus…), mentre all’altro angolo il temibile impiegato Dave, il protagonista di errori fatali. L’affidabilità di un sistema informatico meticolosamente protetto può finire al tappeto al primo clic dell’utente che neppure sa di incarnare il Mike Tyson digitale.

I bookmaker più esperti non scommetterebbero un centesimo sulle cautele adottate dal security manager. E il mondo assicurativo?

Secondo un sondaggio svolto nell’ottobre scorso da Advisen e Zurich, nel corso degli ultimi sei anni, la percentuale di aziende che hanno affidato la loro serenità e tranquillità a una polizza cyber è aumentata dell’85%, dal 35% nel 2011 al 65% nel 2016.

Ma garantire alle aziende un’adeguata copertura non si traduce solo nel calcolare la validità e la robustezza delle misure di sicurezza dei sistemi informatici, ma anche e soprattutto esaminare le vulnerabilità derivanti dalla componente umana che in ciascuna organizzazione assume un ruolo importante utilizzando computer, reti e programmi. È fondamentale capire la natura e la provenienza della popolazione che gravita attorno ad aziende private ed enti pubblici. A voler inventariare i potenziali soggetti pericolosi possiamo trovarne tra i dipendenti, i consulenti esterni, il personale dei fornitori, gli addetti alla manutenzione tecnica. L’elenco potrebbe continuare a lungo sottolineando l’impossibilità di attribuire a ciascuno di questi un grado di preparazione, un livello di sensibilità, un tasso di pericolosità o qualsiasi altro connotato indispensabile per parametrare le effettive condizioni di rischio cibernetico del potenziale contraente.

Chi vuole assicurarsi deve garantire l’idoneità delle persone destinate a operare in via continuativa o anche solo occasionale su procedure e archivi elettronici comunicando il profilo professionale degli interessati, la frequenza di corsi specifici, le dinamiche di aggiornamento e la tipologia e ciclicità dei controlli, la sussistenza di regolamenti e indicazioni vincolanti. Non va dimenticata la conflittualità tra datore di lavoro e dipendenti, esasperata da licenziamenti, provvedimenti di cassa integrazione, contratti di solidarietà, mobilità, che si possono tradurre in ritorsioni, sabotaggi, data diddling, leaking e altri comportamenti in danno ai sistemi informativi. Le sorprese, purtroppo, sono in agguato.