Dopo ogni attacco informatico le indagini analizzano ciò che è andato storto, con un’attenzione quasi esclusiva alla tecnologia. Ma, nei momenti critici, a fare davvero la differenza sono le persone e, sotto pressione, anche piccole tensioni interne possono degenerare in crisi vere e proprie. È anche vero, però, che troppo spesso la colpa ricade su singoli individui, anche quando le reali responsabilità sono sistemiche. Le organizzazioni amano definire i propri dipendenti come il "più grande asset per la sicurezza informatica" e investono in programmi di formazione, soprattutto per quanto riguarda il phishing. Eppure, il phishing continua a essere tra le tecniche di attacco più efficaci. La formazione è utile, ma non può risolvere tutto. Un esempio emblematico: il caso Ronin Bridge, che ha subito una violazione da oltre 600 milioni di dollari. La società ha attribuito la responsabilità a un dipendente vittima di phishing, licenziandolo immediatamente. Il risultato? Un disastro mediatico. L’azienda, invece di rassicurare le parti interessate, ha messo in luce un problema ben più profondo: se un singolo clic può causare così tanti danni, il vero problema è la mancanza di adeguate misure organizzative, non l’errore individuale.

Quando i leader si girano dall’altra parte

Uno dei colpevoli ricorrenti nel panorama delle minacce informatiche è il software non aggiornato. Il caso Equifax, con oltre 100 milioni di dati personali compromessi, ne è un esempio emblematico: l’azienda attribuì la responsabilità a un dipendente IT per non aver seguito le procedure. Ma fare affidamento sui singoli individui per contrastare falle di sicurezza, senza un sistema di controllo adeguato, è un fallimento gestionale. Il personale va in ferie, cambia ruolo o commette errori, è nella natura umana. È compito dei leader aziendali prevederlo e quindi garantire che nulla venga trascurato.

Salvatore Marcis, Country Manager Trend Micro Italia

Lo stesso vale per i punti ciechi nelle infrastrutture IT. L’ultima ricerca Trend Micro ha rivelato che il 75% delle aziende ha subito incidenti informatici causati da asset sconosciuti o non gestiti. Quando si verifica un problema, iniziano le scuse incrociate: i team endpoint puntano il dito contro i team di rete, e viceversa. Senza una supervisione forte e chiara, quella che dovrebbe essere una risposta coordinata si trasforma rapidamente in disorganizzazione e conflitti interni. È compito dei dirigenti intervenire, smettere di distribuire colpe e concentrarsi sulla risoluzione rapida del problema.

In seguito a un attacco, le priorità cambiano rapidamente. I team IT, spesso poco finanziati e trascurati, si ritrovano improvvisamente sotto la lente di ingrandimento. I dirigenti, che da tempo hanno evitato di investire nella sicurezza informatica, iniziano a chiedere risposte immediate. In alcuni casi, si arriva persino a valutare il pagamento silenzioso del riscatto pur di ripristinare le operazioni. Questo è un atteggiamento reattivo, miope e ben lontano da una strategia strutturata.

La normativa NIS2 ha fatto chiarezza: la sicurezza informatica è una responsabilità del top management. Il Consiglio di Amministrazione e i dirigenti devono promuovere misure di sicurezza adeguate, monitorarne l’implementazione e garantire una formazione continua per il personale e per sé stessi. Questi obblighi non sono più raccomandazioni, ma prescrizioni di legge. Troppe aziende, in passato, si sono sottratte alle proprie responsabilità finché non è stato troppo tardi. Con la normativa NIS2 si rischiano sanzioni anche in assenza di una violazione conclamata, se non si adottano adeguate misure di sicurezza.

Le misure di sicurezza come i firewall e la formazione sono fondamentali, ma non infallibili. Ecco perché è essenziale affiancarli a una visibilità proattiva, a capacità di rilevamento precoce, a una risposta rapida e a solidi backup. Prima si individua un attacco, minore sarà il danno. Ecco perché un approccio proattivo non è più un’opzione, ma una necessità.

Comprendere l’esposizione al rischio

La soluzione Cyber Risk Exposure Management (CREM), all’interno della piattaforma Trend Vision One, offre la visibilità necessaria per gestire efficacemente il rischio informatico. Identificando le vulnerabilità, valutandone l’impatto e definendo le priorità di intervento, CREM consente alle organizzazioni di ridurre il rischio prima che diventi una crisi. Inoltre, colma il divario tra i team tecnici e il management, fornendo un quadro chiaro e misurabile della postura di sicurezza aziendale: dove si posiziona rispetto ai competitor e in quali aree è necessario migliorare.

Con l’ultimo aggiornamento, Trend Micro porta questa capacità a un livello superiore. La nuova funzionalità Attack Path Prediction permette di visualizzare in anticipo scenari di attacco realistici: ad esempio, come un'errata configurazione nel cloud possa esporre un database critico, o come un punto di accesso trascurato possa consentire agli aggressori di ottenere il controllo dell'admin di dominio. Non si tratta solo di evidenziare le vulnerabilità: si tratta di comprendere come un attacco potrebbe realmente svilupparsi.

La sicurezza informatica non dovrebbe mai diventare un gioco di colpe. Gli errori umani esistono, ma con le giuste tecnologie, processi e leadership, è possibile impedire che questi errori diventino catastrofi. Le decisioni sul budget, la tolleranza al rischio e le priorità strategiche sono responsabilità del management. Se queste scelte falliscono, la responsabilità non è di chi ha cliccato sul link sbagliato, ma di una mancanza di visione. La vera prova della leadership non è reagire dopo l’incidente, ma costruire resilienza prima ancora che qualcosa accada.

Salvatore Marcis è Country Manager di Trend Micro Italia