Sicurezza informatica in azienda: un fatto di cultura aziendale

Con la diffusione dell’industria 4.0 e di nuove modalità lavorative, come lo smart working, la cybersecurity è sempre più una priorità, ma sono ancora molte le aziende impreparate ad affrontarla.

Per far fronte a questa sfida, la sicurezza informatica deve diventare una responsabilità condivisa all’interno delle aziende, dal top management ai dipendenti. Proprio questi ultimi sono generalmente indicati come il principale pericolo per la cybersecurity di un’azienda.

In realtà, guardare ai dipendenti solo come all’anello debole della sicurezza dei dati in azienda è un luogo comune. Con i giusti accorgimenti, saranno proprio gli utenti aziendali a costituire la prima linea di difesa contro il cyber risk.

Come rafforzare allora la loro posizione? Al di là dei sofisticati sistemi di sicurezza informatica e delle complicatissime procedure, puntare sulla cultura aziendale in tema di cybersecurity permetterà ad ogni utente di identificare e segnalare eventuali attacchi informatici, riducendo in questo modo il rischio di cyber attacks.

Quali sono in concreto alcuni dei passi da compiere?

Semplificare le procedure interne. Un programma di cybersecurity , per essere efficace, deve svilupparsi su una serie semplice e limitata di procedure. È proprio la complessità dei processi di security, come nel caso delle norme sulla complessità delle password o sul loro aggiornamento periodico, a spingere i dipendenti verso quelle scorciatoie che vanificano gli effetti dei sofisticati sistemi di sicurezza. Nella maggior parte dei casi infatti procedure lunghe e ripetitive verranno del tutto ignorate, con l’unico risultato di garantire un falso senso di sicurezza.

le procedure interne. Un , per essere efficace, deve svilupparsi su una serie e di procedure. È proprio la complessità dei processi di security, come nel caso delle norme sulla complessità delle password o sul loro aggiornamento periodico, a spingere i dipendenti verso quelle scorciatoie che vanificano gli effetti dei sofisticati sistemi di sicurezza. Nella maggior parte dei casi infatti procedure lunghe e ripetitive verranno del tutto ignorate, con l’unico risultato di garantire un Ridefinire la formazione per educare al meglio i dipendenti. Nel caso specifico della cybersecurity, i classici corsi di formazione standardizzati, in cui gruppi di dipendenti vengono sommersi per un’intera giornata da un’enorme mole di indicazioni generali circa i comportamenti ammissibili e non, sono del tutto inutili. Meglio optare per programmi di formazione personalizzati in base a ruolo ed incarichi, che gli consentano di comprendere come i loro stessi comportamenti possano essere causa di un attacco. Fornire ad ogni dipendente gli strumenti utili ad individuare il tentativo di un attacco hacker creato ad hoc per ottenere informazioni specifiche su un determinato settore o prodotto, gli consentirà di riconoscere un allegato dannoso o un link infetto, che potrebbe danneggiare la rete di sicurezza aziendale. Una formazione focalizzata sulla specifica tipologia di attacco informatico cui potrebbe essere personalmente sottoposto ogni utente sarà quindi sicuramente più efficace.

per al meglio i dipendenti. Nel caso specifico della cybersecurity, i classici corsi di formazione standardizzati, in cui gruppi di dipendenti vengono sommersi per un’intera giornata da un’enorme mole di indicazioni generali circa i comportamenti ammissibili e non, sono del tutto inutili. Meglio optare per in base a ruolo ed incarichi, che gli consentano di comprendere come i loro stessi comportamenti possano essere causa di un attacco. Fornire ad ogni dipendente gli strumenti utili ad individuare il tentativo di un attacco hacker creato ad hoc per ottenere informazioni specifiche su un determinato settore o prodotto, gli consentirà di riconoscere un allegato dannoso o un link infetto, che potrebbe danneggiare la rete di sicurezza aziendale. Una sulla specifica tipologia di attacco informatico cui potrebbe essere personalmente sottoposto ogni utente sarà quindi sicuramente più efficace. Rafforzare il rapporto tra dipendenti e team di security, che è il punto nevralgico di ogni sistema di sicurezza aziendale efficacie. Normalmente il reparto IT è visto come il poliziotto cattivo della situazione, perché definisce ciò che è ammissibile fare, in termini di sicurezza aziendale, e ciò che non lo è. Per mitigare questa percezione da parte dei dipendenti, sarebbe sufficiente, ad esempio, che il team security, invece di proibire completamente l’uso di strumenti di uso comune, considerati a rischio minaccia, si impegnasse a fornire indicazioni precise su come utilizzarli in modo sicuro e consapevole. Dipendenti e team IT sono le figure aziendali più vicine ai dati, per questo sono viste come figure chiave per identificare e prevenire eventuali attacchi. I dipendenti possono fornire al team security informazioni utili a correggere e personalizzare i programmi di sicurezza informatica, mentre il reparto IT può fornire ai dipendenti gli strumenti necessari ad incrementare la consapevolezza nell’utilizzo dei mezzi tecnologici.

Pertanto tecnologie, procedure e programmi educativi sono ovviamente importanti e necessari, ma a fare la differenza nel tenere al sicuro le organizzazioni sarà un’effettiva collaborazione tre le figure chiave, grazie alla quale sarà possibile instaurare una giusta cultura della cybersecurity e cambiare in questo modo le abitudini sbagliate degli utenti.