Lo scorso anno abbiamo assistito ad un vero e proprio cambiamento globale: le Aziende hanno provato e stanno provando ad aumentare la loro produttività attraverso le esponenziali capacità della connettività.
Un aspetto che determina, dal punto di vista della sicurezza informatica, un incremento della potenziale superficie di attacco, secondo il paradosso “capability/vulnerability” semplificabile in: maggiori sono le risorse tecnologiche a disposizione, maggiori possono essere le minacce.
A questo proposito, l’Azienda Claroty, leader globale in sicurezza di Operational Technology, ha condotto alla fine del 2020 uno studio nominato The Critical Convergence of IT and OT Security in a Global Crisis.
Che cosa è emerso dallo studio? Che specialmente le PMI donano poca attenzione alla sicurezza informatica, nonostante si sia verificata nel 2020 una vera e propria digital transformation.
Analizziamo insieme, nel corso dell’articolo, perché è importante non abbassare la guardia e come i dipendenti possono fare la differenza nella buona riuscita di un progetto di security.
Formazione del personale e sicurezza informatica
È fondamentale che tutto il personale sia adeguatamente formato per mantenere, nell’uso degli strumenti informatici, un comportamento che non esponga l’azienda a rischi facilmente evitabili.
Come? Sviluppando una corretta cultura della sicurezza, indipendentemente dalle responsabilità del singolo dipendente: tutti i collaboratori devono avere la giusta consapevolezza dei rischi e della propria capacità di prevenire incidenti e/o di gestirli, amministrando le insidie che sia la quotidianità sia gli eventi fuori dall’ordinario, possono generare.
Perché formare i dipendenti
Secondo il Corollario di Mitnick, in un progetto di cybersecurity, l’anello debole sono le persone. Una caratteristica propria degli esseri umani è che sono più soggetti ai fallimenti rispetto alle macchine e attraverso tecniche di social engineering possono essere spinte a compiere azioni dannose per sé stessi e per le realtà in cui operano.
Investire grandi budget nelle infrastrutture, senza fare formazione potrebbe di fatto essere poco funzionale. La conoscenza della sicurezza informatica deve essere intesa come investimento sul fattore umano e non un mero costo.
Visto il crescente utilizzo e miglioramento delle tecnologie è di fatti utile e conveniente sensibilizzare le proprie risorse umane sulla tematica di cyber security.
La formazione non può consistere nella semplice erogazione di corsi formativi una tantum: i dipendenti dovrebbero ricevere un’adeguata conoscenza in materia prima di poter accedere a risorse critiche e essendo periodicamente aggiornati sull’evoluzione delle minacce.
Il fattore umano
Su che cosa fanno leva i cybercriminali?
Quali fattori entrano in gioco quando gli hacker fanno leva sulle emozioni del singolo?
Perchè è importante rendere i dipendenti consapevoli dei rischi che si corrono online?
Partiamo da una prima consapevolezza: lo stress è il punto di debolezza dei collaboratori e il punto di forza degli hacker. Visto l’anno passato, in cui sono state stravolte le nostre abitudini quotidiane e professionali, siamo inevitabilmente tutti più vulnerabili a livello psicologico.
Proprio per questo, è sempre più importante:
- Generare consapevolezza nei collaboratori;
- Far sottoscrivere ai collaboratori il disciplinare per l’utilizzo degli strumenti informatici, dall’assunzione;
- Incrementare la sicurezza tecnologica dei dispositivi.
Il disciplinare per l’utilizzo degli strumenti informatici
Abbiamo constatato che la digital transformation porti con sé un aumento di rischio in di sicurezza informatica.
I pericoli però possono essere ulteriormente ridotti intervenendo sulle regole comportamentali dei collaboratori in relazione all’uso degli asset informati.
È sempre più adottato e specifico il disciplinare per l’utilizzo degli strumenti informatici.
Si tratta di un documento che contiene l’insieme delle misure idonee indirizzate alla riduzione del rischio derivante dall’uso improprio degli strumenti forniti in dotazione dall’Azienda ai propri dipendenti.
Nello specifico, definisce:
- I ruoli e le responsabilità delle principali strutture coinvolte nel processo di gestione dei servizi informatici;
- Le raccomandazioni generali e le regole comportamentali cui devono attenersi gli utenti interni, al fine di garantire l’utilizzo in sicurezza dei servizi informatici e degli strumenti;
- Le attività di monitoraggio e di tracciamento dei servizi di posta elettronica e di navigazione Internet degli utenti.
Un programma di security awareness
La sicurezza è una funzione aziendale che si sta ritagliando sempre più spazio nel ruolo organizzativo, in maniera autonoma e trasversale. Può essere efficace solo se la si tratta come un percorso condiviso e supportato da tutti i collaboratori delle diverse aree dell’azienda.
Inevitabilmente disegnare e realizzare un programma di security awareness efficace richiede tempo e impegno.
L’inizio di percorsi di formazione specializzati in ambito di sicurezza informatica rappresentano, di fatto, un valido punto di partenza al fine di comprendere rapidamente il livello di risposta della popolazione aziendale a tentativi, molto ben confezionati, di attacchi informatici.
Sappiamo però che si tratta di un primo e importante tassello di un grande puzzle, che deve essere seguito da un’attenta analisi dei risultati e un piano di miglioramento continuativo nel tempo, tra cui un piano di disaster recovery in ottica di business continuity.
