Se un esperto manager della qualità pensa ancora che un assistente digitale sia semplicemente fantastico, anche dopo 18 anni di lavoro, ci si può chiedere: cosa c'è di così buono in questo strumento?
Se si crede alle ricerche degli psicologi Daniel Kahneman e Amos Tversky ("Judgement Under Uncertainty"; Cambridge Univ. Press 1982), le persone non rifuggono dal rischio, ma dalle perdite. Che influenza ha questo meccanismo comportamentale sulle organizzazioni e sul modo in cui esse affrontano i rischi?
In un mondo sempre più connesso in rete, la sicurezza informatica rimane una delle sfide principali per le aziende. La necessità di pensarla in modo strategico e olistico è più che mai sentita.
Quali sono le quattro sfide principali per le aziende? E soprattutto: come possono rafforzare concretamente la loro resilienza?
Il rapido ritmo dello sviluppo tecnologico non porta solo progressi, ma anche nuove minacce. L'intelligenza artificiale generativa può essere uno strumento potente, ma consente anche ai criminali informatici di creare e-mail di phishing o deepfake estremamente convincenti che possono facilmente aggirare i sistemi di sicurezza tradizionali. Inoltre, è già chiaro che i progressi dell'informatica quantistica potrebbero rendere obsoleti i metodi di crittografia tradizionali in futuro.
Per affrontare queste sfide, le aziende devono agire in modo proattivo. Un fattore cruciale è la modernizzazione dell'infrastruttura IT, che comprende sia soluzioni di sicurezza basate sull'IA sia tecnologie di crittografia a sicurezza quantistica. Il Kyndryl Readiness Report[1] mostra che 86% delle organizzazioni considerano la loro implementazione dell'IA di alto livello, ma allo stesso tempo solo 29% ritengono che i loro sistemi di IA siano pronti a gestire i rischi futuri. È quindi evidente che la pianificazione strategica e l'innovazione continua sono necessarie sia per anticipare le minacce emergenti sia per ottimizzare l'uso delle tecnologie esistenti.
Una sfida fondamentale per le organizzazioni è la frammentazione tra sicurezza e aree aziendali, che spesso porta a inefficienze e a un aumento dei rischi.
Sistemi di gestione efficaci, come l'ISO 27001, forniscono un approccio strutturato per superare questi silos, collegando le strategie di sicurezza agli obiettivi aziendali generali. L'istituzione di un sistema di gestione della sicurezza delle informazioni (ISMS) aiuta a definire processi e responsabilità chiare e a promuovere la collaborazione tra le unità IT, di sicurezza e aziendali. Allo stesso tempo, la ISO 27001 promuove una cultura del miglioramento continuo che consente alle organizzazioni di rispondere in modo flessibile alle nuove minacce e di soddisfare in modo efficiente i requisiti normativi.
Nonostante i progressi tecnologici, tuttavia, le persone rimangono un fattore chiave. I programmi di formazione strutturati, come le simulazioni di phishing o la formazione sull'uso sicuro delle password, aumentano la vigilanza informatica a tutti i livelli dell'organizzazione. Sensibilizzando i rischi per la sicurezza e incoraggiando la partecipazione attiva, i dipendenti sono in grado di riconoscere e reagire meglio alle potenziali minacce. La combinazione di sistemi di gestione efficaci e di una forza lavoro ben informata rafforza la capacità delle organizzazioni di mitigare i rischi e aumentare la propria resilienza.
La moltitudine di strumenti di sicurezza disponibili può dare l'impressione che più strumenti significhino automaticamente più protezione. In realtà, però, questo porta spesso a un'eccessiva complessità, che rende difficile mantenere una visione d'insieme e favorisce le lacune nella sicurezza. Una piattaforma di sicurezza consolidata che integri diverse funzioni può rappresentare un rimedio. Centralizzando i dati e i processi di sicurezza, le aziende possono rilevare e rispondere più rapidamente alle minacce. Dashboard standardizzati e flussi di lavoro automatizzati migliorano l'efficienza e riducono gli errori umani. Inoltre, una piattaforma di questo tipo consente ai responsabili della sicurezza di concentrarsi su attività strategiche, invece di investire risorse preziose nella gestione di singole soluzioni. Inoltre, una soluzione consolidata crea trasparenza, essenziale per gli audit interni ed esterni.
Tuttavia, il più grande ostacolo a una strategia olistica di sicurezza informatica è spesso di natura organizzativa: la mancanza di supporto da parte del senior management. Secondo il Kyndryl Readiness Report, 69% delle grandi organizzazioni segnalano una mancanza di supporto critico da parte dei loro consigli di amministrazione. Inoltre, 73% dei responsabili della sicurezza indicano che i loro consigli di amministrazione non si interessano attivamente alla preparazione della loro organizzazione in materia di cybersecurity. Senza il coinvolgimento attivo del consiglio di amministrazione e del livello C, la cybersecurity rimane quindi spesso un problema isolato.
Le strategie per promuovere la consapevolezza informatica a livello di senior management comprendono la stesura di rapporti periodici sui rischi per la sicurezza e sul loro potenziale impatto sull'azienda. Anche una chiara panoramica del ritorno sull'investimento (ROI) degli investimenti in sicurezza può essere persuasiva. Anche workshop e simulazioni di attacchi informatici per il top management possono aumentare la consapevolezza dell'urgenza del problema.
Un'altra misura importante è la nomina di un Chief Information Security Officer (CISO), che riferisce direttamente al livello dirigenziale (si veda anche l'articolo a pag. 34). In questo modo si garantisce che la sicurezza informatica sia ancorata come obiettivo strategico e non rimanga solo a livello operativo.
La sicurezza informatica è diventata un imperativo aziendale strategico. Dato il panorama sempre più complesso e dinamico delle minacce, le organizzazioni devono adottare un approccio olistico e a lungo termine alle loro strategie di sicurezza e alla resilienza informatica. Le quattro sfide descritte sopra - dalle minacce emergenti ai silos organizzativi e alle lacune strategiche a livello di leadership - illustrano la complessità di questo compito.
Le aziende che superano con successo queste sfide ottengono più di un semplice rafforzamento delle loro linee di difesa: ottengono un forte vantaggio competitivo. Collegando la sicurezza informatica agli obiettivi aziendali generali, non solo colmano il divario tra la sicurezza percepita e quella effettiva, ma si posizionano anche per un successo sostenibile in un mondo sempre più digitalizzato.
[1] https://www.kyndryl.com/content/dam/kyndrylprogram/doc/en/2024/kyndryl-readiness-report.pdf
Autore
Maria Kirschner è vicepresidente e direttore generale di Kyndryl Alps. Kyndryl dichiara di essere uno dei maggiori fornitori al mondo di servizi di infrastruttura IT per migliaia di aziende clienti in oltre 60 Paesi.
La direttiva NIS2 nell'UE e la nuova legge sulla sicurezza delle informazioni (ISG) in Svizzera comportano nuovi requisiti per la sicurezza informatica. Questo è un problema anche per la gestione della qualità.
L'integrazione dei rischi informatici nella gestione dei rischi a livello aziendale è fondamentale per rendere le aziende resistenti alle sfide della trasformazione digitale. Il Chief Information Security Officer (CISO) svolge un ruolo centrale in questo senso.
Nella giungla dei pericoli digitali, non basta una torcia. La sicurezza informatica deve diventare una competenza aziendale fondamentale.
A causa del mondo informatico globale, sono soprattutto i termini tecnici inglesi a essere utilizzati quando si parla di sicurezza informatica e di fonti di pericolo: attacchi di phishing basati sull'intelligenza artificiale, credential stuffing, web scraping, skewing, DDoS e DNS scrubbing e così via. Solo a leggerli può venire il mal di testa, almeno se non si ha dimestichezza con il mondo virtuale dei dati e della comunicazione. E questo accade spesso nelle aziende più piccole. Questo perché non c'è né un responsabile della sicurezza né un responsabile IT; di solito questi servizi vengono affidati a esperti e agenzie esterne o si cerca di risolvere il problema nel modo più economico possibile. Entrambi gli approcci presentano anche degli svantaggi: Le agenzie esterne tengono per sé le proprie competenze, creando così dipendenza. Inoltre, "arrangiarsi" da soli nasconde i pericoli già citati, di cui si sa troppo poco e quindi non ci si può proteggere.
Per dare un'idea delle dimensioni, ecco un breve riassunto delle minacce citate: Il termine phishing (da "fishing") si riferisce ai tentativi di impersonare un partner di comunicazione affidabile attraverso e-mail o siti web falsi. L'obiettivo dei truffatori è quello di convincere gli utenti di Internet a collegarsi a falsi siti pubblicitari ed eventualmente a lasciare dati riservati come password o nomi di utenti.
Il Credential stuffing è un attacco informatico automatizzato e frequentemente ripetuto in cui gli hacker utilizzano bot (dall'inglese "robot") in un tentativo ampiamente automatizzato di accedere ai dati di base di un sito web. Ciò è in parte legale e auspicabile, in modo che i motori di ricerca possano identificare e pubblicare le informazioni richieste. Ma esistono anche metodi dannosi del processo noto come web scraping: i dati vengono utilizzati in modo improprio, falsificati o immessi nella darknet.
Anche gli attacchi di tipo "skewing", che significa "distorcere", rientrano in questa categoria. Gli aggressori cercano di distorcere le informazioni e le statistiche ottenute tramite i dati di analisi web, ad esempio quelli di Google Analytics. Non si tratta quindi di un furto di dati, ma del fatto che le aziende bersaglio sono indotte a prendere decisioni aziendali sbagliate a causa dei dati manipolati. Infine, DDoS: è l'acronimo di Distributed Denial of Service e descrive gli attacchi informatici che causano interruzioni di siti web mediante richieste artificiali e ripetitive. I cosiddetti servizi di scrubbing si oppongono a questo fenomeno, identificando questo tipo di traffico dannoso e impedendo che i sistemi vengano sovraccaricati. E questi non sono affatto tutti i pericoli. Come possono difendersi le piccole e medie imprese?
Il primo passo è guardare più da vicino e con maggiore attenzione, perché il furto o l'uso improprio di informazioni digitali interne all'azienda è diventato la frode più frequentemente denunciata, molto più intensa del furto fisico. Quindi, indipendentemente dal fatto che un'azienda abbia introdotto il cloud computing o che invii solo due o tre e-mail a settimana, la sicurezza informatica è diventata una competenza fondamentale anche per le aziende più piccole. Il compito principale di ogni manager responsabile è quindi quello di creare una cultura della sicurezza.
La fase 1 è già stata menzionata più volte in M&Q: a prescindere dalla generazione a cui si appartiene, è necessario familiarizzare con l'argomento e prenderne confidenza. Questo non significa che un manager debba capire o padroneggiare tutto, ma che abbia una visione d'insieme dell'argomento, delle influenze esterne e interne, delle opportunità e delle sfide e, se necessario, degli elementi legati al budget. Se nel team ci sono persone più giovani e più esperte di digitale che si occupano di determinati compiti, va benissimo. Ma il capo deve conoscere il quadro generale.
La prima cosa da fare è mantenere il sistema pulito. Ciò richiede una regolare pulizia dei vecchi dati, l'uso del software di sicurezza più recente e l'installazione degli aggiornamenti software non appena disponibili. Il software antivirus dovrebbe essere impostato in modo da eseguire automaticamente una scansione dopo ogni aggiornamento. È inoltre necessario eseguire il backup di tutti i dati aziendali almeno una volta alla settimana e conservarli fuori sede. Tra i documenti più importanti vi sono i file del personale, i file finanziari, i conti attivi e passivi, nonché i documenti di elaborazione testi. Chi non lo fa, in definitiva, agisce con grave negligenza.
Con le conoscenze di base acquisite attraverso la familiarizzazione, un manager deve ora essere in grado di definire le pratiche e le linee guida di sicurezza di base per l'azienda e i suoi dipendenti. Queste includono diritti di accesso al sistema e ai dati chiaramente definiti, password sicure, linee guida sull'uso di Internet (anche durante il tempo libero trascorso in ufficio) e regole di comportamento relative ai dati aziendali e alle informazioni sui clienti.
Abbastanza sottovalutato: anche i dispositivi mobili privati possono causare notevoli problemi di sicurezza, soprattutto se contengono informazioni riservate o possono accedere alla rete aziendale. I dipendenti dovrebbero proteggere questi dispositivi con una password, criptare i dati o installare applicazioni di sicurezza. Lo stesso vale per i computer portatili, che possono essere facilmente rubati o smarriti. Ogni dipendente dovrebbe avere un account utente separato e le relative password dovrebbero essere assegnate solo da personale informatico specializzato.
Anche la rete Wi-Fi interna dell'azienda può essere una potenziale fonte di problemi. Dovrebbe essere crittografata, accessibile solo con una password e impostata con un router in modo che il nome della rete (SSID, il cosiddetto service set identifier) non venga trasmesso.
In ogni caso, tutte le password sono potenziali aree di attacco: in primo luogo, devono essere create in modo complesso. Ciò significa che devono essere lunghe almeno otto caratteri e composte da quattro tipi diversi di caratteri (lettere maiuscole e minuscole, numeri e caratteri speciali). In secondo luogo, le password sensibili devono essere cambiate ogni tre mesi, comprese quelle dei dispositivi privati dei dipendenti. In terzo luogo, esiste l'opzione dell'autenticazione a più fattori per i dati sensibili, che richiede ulteriori informazioni oltre alla password. Alcune banche, ad esempio, offrono ai loro clienti servizi di questo tipo.
La sicurezza informatica è una competenza fondamentale, che può essere illuminata correttamente solo con una torcia potente.
Autore
Daniel Tschudy è pubblicista, oratore e consulente nel settore dell'ospitalità. È inoltre specializzato in altri temi legati alle nuove dimensioni della cooperazione globale.
L'Associazione svizzera per la qualità SAQ ha avuto l'opportunità di testare un innovativo strumento di intelligenza artificiale progettato per migliorare i sistemi di qualità integrati.
A FOREP 2024 ha parlato di come l'IA generativa sta cambiando il lavoro nelle aziende: Nina Habicht. Nell'intervista, la giovane imprenditrice dell'IA spiega come deve funzionare l'interazione tra uomo e macchina.
L'intelligenza artificiale sta cambiando molte aree della nostra vita. Grazie a strumenti di IA generativa come ChatGPT, sempre più processi lavorativi possono essere automatizzati e semplificati, anche nel campo della ricerca e dello sviluppo. Ma a quale costo?
Una nuova tecnologia consente di trasmettere le informazioni del sistema di gestione just-in-time e sensibili al contesto direttamente ai dipendenti.
In questa intervista, il Presidente dell'ISO Sung Hwan Cho condivide la sua visione del ruolo dell'ISO nel superare le sfide globali.
Forep 2024 ha riunito circa 220 persone al Centro Congressi Swiss Tech di Losanna intorno al tema della "qualità intelligente". Questo singolo aggettivo, "intelligente", da qualche anno a questa parte ha quasi naturalmente focalizzato la nostra attenzione sull'IA. Quest'ultima ha occupato un ampio spazio in questa giornata del 7 novembre, ma senza mai perdere di vista l'intelligenza umana. E questo in un perpetuo movimento di ritorno.
