Una delle cose più difficili in azienda, è formare una cultura della sicurezza informatica, dentro e fuori dal reparto IT.
Se infatti, è dura formare gli esterni alle buone pratiche di sicurezza, non di rado queste vengono disattese da chi dovrebbe dare il buon esempio.
Ho visto cose che non potete immaginare: chiavi di sicurezza committate nel codice, file di environment accessibili dal web, password facili inserite da database per saltare i controlli.
Se ci sono pratiche del genere in IT non possiamo criticare marketing per avere un foglio Excel condiviso con le password in chiaro dentro.
Non possiamo pretendere che tutti usino la multi factor authentication, che usino computer e device sicuri, se IT usa computer condivisi con la famiglia, se sui computer dove sviluppa c’è software pirata o videogame pescati chissà dove.
La cultura della sicurezza deve essere prioritaria e fondamentale in azienda: deve essere un processo continuo e costante.
Dobbiamo interrogarci tutti sui possibili problemi di intrusione, data breach. Interrogarci e migliorarci. Spesso se ne scrive teoricamente in una DPIA, la si mette in un cassetto, la di dimentica.
La si dimentica finché shit happens ed è troppo tardi.
Occorre prendersi questa seccatura seriamente ora per non avere problemi impossibili in futuro.
Bisogna parlarne tutti assieme, in tutti i reparti, aiutarsi insieme e comprendere che la sicurezza è assolutamente importante.
Deve capirlo anche prodotto quando accelera su funzioni che possono causare vulnerabilità.
E se ogni azienda farà la sua parte avremo un web globalmente più sicuro.