È molto importante stabilire politiche di sicurezza e implementare diverse soluzioni che ci aiutino a essere più sicuri, ma hanno poco valore se non creiamo e promuoviamo una cultura della sicurezza all’interno e all’esterno della nostra azienda.
L’anello più debole della catena
Sicuramente avrete sentito frasi come: “La catena si spezza nell’anello più debole”. Nel campo della sicurezza, si usa spesso questo tipo di frasi per riferirsi all’utente, poiché possiamo avere un ambiente super sicuro e moltissimi strumenti di monitoraggio, ma se l’utente non utilizza la tecnologia in modo consapevole e sicuro, è molto probabile che avremo una falla di sicurezza. In questo modo, la nostra azienda può essere vittima di diverse minacce, come ad esempio: un Ransomware che sequestra i nostri dati e ci impedisce di accedervi senza pagare un riscatto, un inganno in cui vengono forniti dati sensibili a un cybercriminale o anche accesso fisico a un intruso in un’area riservata, e molti altri esempi.
Per questo motivo, dobbiamo creare una cultura della sicurezza sia all’interno che all’esterno della nostra azienda.
Da dove cominciare
Un ottimo modo per iniziare è includere un programma di consapevolezza all’interno della nostra strategia di sicurezza per raggiungere tutte e ciascuna delle persone che compongono la nostra azienda.
Ora vi chiederete (o no 🙂 ) perché insistiamo tanto su “dentro e fuori dall’azienda”. La risposta è semplice: una persona può essere addestrata a utilizzare in modo sicuro e consapevole gli strumenti e le risorse tecnologiche della sua azienda, ma è inutile se non fa lo stesso con i propri dispositivi. Un esempio di questo sarebbe:
Un utente ha ricevuto un ottimo addestramento all’interno della sua azienda, dove ha preso coscienza dell’uso sicuro delle risorse della stessa. Ora, è più attento e cauto nel suo lavoro. Ma quando esce dal lavoro, accetta richieste di amicizia su Facebook anche senza conoscere il mittente, pubblica foto sui social network (anche alcune scattate all’interno dell’azienda), scarica qualsiasi tipo di applicazione (ufficiale e non) sul suo cellulare, si connette a qualsiasi rete wireless che trova e naviga con il suo notebook accettando qualsiasi banner che gli si presenti.
Anche se esageriamo, molte persone agiscono in questo modo e trascurano le loro risorse personali. Questo accade perché l’utente è stato istruito sull’uso degli strumenti aziendali, ma non sull’uso dei social network o dei dispositivi personali. Questa è una grande falla di sicurezza, poiché i cybercriminali non si limitano solo alle risorse aziendali, ma, se l’obiettivo è chiaro, si concentreranno sulle risorse personali di ciascun utente e persino su obiettivi satelliti come familiari o amici degli stessi.
Programma di Consapevolezza
Di seguito dettagliamo alcune delle azioni che si possono intraprendere per coprire diversi fronti e ottenere così maggiore visibilità, sostenibilità e rendimento del programma:
Valutazione iniziale
È molto importante iniziare valutando la conoscenza o la percezione che i dipendenti hanno riguardo alla sicurezza. Per fare questo, è necessario eseguire diversi test, come ad esempio:
- campagne di simulazione di phishing,
- campagne di simulazione di malware,
- sondaggi,
- valutazioni,
- inganni telefonici,
- tentativi di intrusione.
Le informazioni risultanti ci serviranno per poter effettuare un confronto dello stato man mano che avanziamo con le diverse azioni del programma di consapevolezza.
Consapevolezza e addestramento
Una volta che sappiamo dove siamo, dobbiamo sensibilizzare e addestrare tutti gli utenti. Per avere successo in questo aspetto, è necessario disporre di materiale piacevole e adattato alla cultura degli utenti. Il materiale deve essere presentato in modo originale, divertente e semplice da assimilare, combinando ad esempio Newsletter, Game Based Learning, Presentazioni Interattive, Video, Infografiche, Conferenze e Workshop.
Valutazione dei progressi
In modo simile alla valutazione iniziale, gli utenti devono essere periodicamente messi alla prova per poter misurare il cambiamento di comportamento e l’assimilazione delle conoscenze di ciascuno di loro.
Registri di audit
Sia per adempiere alle normative interne o esterne, tutte le azioni di sensibilizzazione realizzate con ciascuno degli utenti devono essere registrate.
Ricominciare
È un errore pensare alla sicurezza come a una soluzione che si implementa e funziona in modo autonomo; direi che è tutto il contrario, quando implementiamo una soluzione, stiamo appena iniziando. Tutte e ciascuna delle azioni che compiamo necessitano di un monitoraggio, di un aggiustamento o di un cambiamento.
La tecnologia è in continua evoluzione così come le minacce, nulla è statico e tantomeno dobbiamo esserlo noi.
Conclusioni
Alla fine delle mie conferenze mi piace fare un’analogia, che condivido di seguito:
Sicuramente quando eravamo bambini molti di noi attraversavano la strada senza prestare attenzione, ci importava poco attraversare all’angolo o a metà strada e che il semaforo fosse rosso o verde. Questo accadeva perché non eravamo consapevoli delle minacce esistenti (esempio: automobili che potevano investirci) né della nostra integrità fisica. Per fortuna abbiamo avuto familiari o amici che ci hanno insegnato ad attraversare sulle strisce pedonali, aspettare che il semaforo diventasse rosso e guardare in entrambe le direzioni.
Oggi è impensabile che una persona adulta attraversi una strada o un viale ovunque, senza guardare e con il semaforo delle auto verde. Non fa un grande sforzo mentale per poter attraversare in modo sicuro, poiché lo fa in modo naturale, questo stesso dobbiamo ottenere per la nostra vita digitale (sia personale che lavorativa), incorporando gradualmente abitudini sicure e utilizzando la tecnologia in modo consapevole fino a far diventare queste azioni completamente naturali.
Emiliano Piscitelli – emiliano.piscitelli@vhgroup.net
Twitter: @emilianox
Lascia un commento