di Maria Elena Iafolla *

Negli ultimi anni, il tema della sicurezza informatica è diventato rilevante per qualsiasi tipo di organizzazione a livello globale, indipendentemente dalle dimensioni o dal settore di attività, pubblico o privato.

Secondo il più recente rapporto del Clusit, l’Associazione Nazionale per la Sicurezza Informatica, confrontando il numero di attacchi rilevati nel primo semestre 2018 con quelli del 2023, la crescita è stata dell’86% (da 745 a 1.382). Nello stesso periodo la media mensile di attacchi gravi è passata da 124 a 230 (quasi 8 al giorno). Oltre a essere aumentata la frequenza, sono aumentati anche gli impatti: la stima della loro “Severity” (indice di gravità) è cresciuta costantemente, il che rappresenta un ulteriore moltiplicatore dei danni.

Anche per questi motivi, dei danni per le imprese e in generale gli enti, finalmente si comincia ad avere consapevolezza: impatti sulla continuità operativa e dunque sulla capacità di continuare a “produrre”, danni alla reputazione, danni economici, dovuti anche all’impossibilità di adempiere ai contratti con clienti e fornitori, costi di ripristino e spese legali, perdita di fiducia da parte del mercato.

Si tratta, a ben guardare, di conseguenze che vengono analizzate quasi esclusivamente dal punto di vista tecnologico, produttivo ed economico. Non si parla invece ancora abbastanza delle conseguenze che gli attacchi informatici e le violazioni possono avere sulle persone che in quelle organizzazioni lavorano.

L’impatto degli attacchi informatici sulla salute e sicurezza sul lavoro

Gli attacchi informatici possono mettere a rischio non solo il patrimonio tecnologico e finanziario di un’organizzazione, ma anche la salute fisica e mentale dei lavoratori. Gli impatti possono essere infatti sociali, e tra questi ad esempio la perdita di fiducia nella tecnologia e nel digitale, ma anche psicologici, come ansia, rabbia e depressione, vergogna, senso di colpa, frustrazione.

Conseguenze che rischiano ovviamente essere maggiori tanto più è critico il settore in cui l’organizzazione opera, come ad esempio quello sanitario o dei servizi della pubblica amministrazione, o ancora degli istituti finanziari. Emblematico è a tal riguardo un incidente di sicurezza occorso nel 2015 al sito di incontri Ashley Madison: tra le informazioni violate, oltre a nomi, cognomi, password, indirizzi, anche le preferenze sessuali degli iscritti. Le conseguenze furono così dirompenti da portare a licenziamenti, divorzi e perfino suicidi degli interessati coinvolti e non è difficile immaginare come il carico psicologico per i lavoratori possa essere in questi casi estremamente pesante.

Sicurezza informatica e sicurezza dei lavoratori, due facce della stessa medaglia

Alla luce di queste riflessioni, non è più possibile considerare sicurezza informatica e salute e sicurezza sul lavoro come materie e aree a sé stanti, poiché regolate da normative diverse e facenti capo a funzioni interne diverse. La sfida diventa dunque quella di tenere un approccio alla sicurezza intesa complessivamente, che tenga conto delle interconnessioni tra i due ambiti e porti ad una relazione positiva tra cultura della sicurezza, protezione del patrimonio aziendale, soddisfazione dei lavoratori. In una parola: “cultura della sicurezza”.

Un progetto in questo senso dovrebbe per esempio prevedere alcuni imprescindibili punti:

– programmare (e progettare sulle specifiche esigenze dell’organizzazione) piani di sensibilizzazione ai temi della salute e sicurezza sul lavoro per le altre funzioni e soprattutto per le funzioni IT e cybersecurity

– viceversa, sensibilizzare gli addetti alla salute e sicurezza sui temi della cybersecurity

– prevedere una cooperazione tra risorse umane, funzione SSL e sicurezza informatica all’interno di un’organizzazione, al fine di guardare alle minacce e agli impatti da diverse prospettive.

Il futuro della sicurezza

Se progetti di awareness di questo tipo possono essere più appetibili per le organizzazioni di grandi dimensioni e dunque più strutturate, la vera sfida riguarda le micro, piccole e medie imprese, che spesso non dispongono al proprio interno di risorse dedicate, ma sono comunque parimenti esposte ai rischi di cui stiamo parlando.

Come ogni svolta culturale, anche questa relativa alla sicurezza richiede una responsabilità condivisa, un impegno delle istituzioni, ma anche di addetti ai lavori e consulenti, imprese, sindacati e associazioni di settore.

* Avvocato, esperta di nuove tecnologie, privacy e cybersecurity, anche in relazione alle tematiche giuslavoristiche. Lead Auditor ISO/IEC 27001:2017, Presidente dell’associazione DFA – Digital Forensics Alumni.

Community - Condividi gli articoli ed ottieni crediti
Articolo Precedente

Swappie: il mercato degli smartphone di seconda mano cresce e con esso l’azienda finlandese degli iPhone rigenerati

next