La “cultura della sicurezza” è uno di quegli elementi immateriali che possono apportare enormi benefici ad un’ azienda.
Le politiche aziendali e i controlli tecnici, per quanto accurati, non potranno mai prevenire una violazione della sicurezza senza la presenza fisica e costante del proprio personale. Le politiche possono essere ignorate e nessun controllo tecnico è perfetto.
Peggio ancora, aumentare i propri controlli per conquistarsi le simpatie del cliente non farà che incentivare l’uso dei sistemi informatici “ombra”, in base ai quali i dipendenti utilizzano la posta elettronica personale e sistemi di condivisione cloud per svolgere il proprio lavoro. Tutto ciò non cambia affatto l’esposizione ai rischi, che però diventano più difficili da quantificare e da affrontare.
Come fare, quindi, a stimolare interesse e coinvolgimento nei propri collaboratori affinché lavorino per l’azienda e non contro di essa? Ecco alcuni consigli utili…
1. Messaggi specifici e rilevanti
Mentre gli attacchi alle nazioni più avanzate spesso occupano le prime pagine di tutti i giornali, la gran parte delle aziende è molto più esposta ad aggressioni da parte del crimine organizzato. Le statistiche relative a quanto una violazione dei propri dati costi ad un’azienda sono assolutamente preoccupanti – esempi concreti come questo possono aiutare a sensibilizzare il team esecutivo della propria azienda.
Quando si tratta di normali dipendenti, tuttavia, è sempre bene sottolineare i rischi connessi ad ogni ruolo specifico. Ad esempio, alla divisione finanza interesserà certamente di più la storia di una frode che coinvolge un CEO rispetto ad un attacco informatico al sistema di amministrazione.
Questo tipo di approccio richiede del tempo, in quanto è necessario creare un messaggio che sia fatto su misura per ogni divisione ma sul lungo termine i benefici sono indubbi, in quanto la storia non riguarda solo più un “tizio non meglio identificato nella divisione IT”.
Sarebbe ancora meglio coinvolgere direttamente il proprio CFO, chiedendogli di diffondere personalmente il messaggio nel corso di riunioni del proprio team, ecc.
2. Mantieni alta l’attenzione
Sebbene leggere il flusso costante di notizie che trattano di società vittime di violazioni può essere abbastanza deprimente, in realtà si può rivelare un esercizio utile. È solo questione di tempo, prima di imbattersi nell’articolo che fa al caso nostro.
È fondamentale cogliere ogni opportunità possibile per mantenere l’attenzione delle posizioni chiave su questo tema, condividendo aneddoti interessanti e rilevanti. Se fai fatica a gestire il volume di notizie, imposta un sistema di notifica per parole chiave relativo al tuo settore o area di competenza.
I podcast sono un altro strumento utile per tenersi al corrente degli eventi più recenti. Il nostro sistema preferito si chiama risky.biz – senza dimenticare la Chet Chat di Sophos, naturalmente!
3. Impara ad essere un buon esperto di marketing (o ingaggiane uno!)
Il marketing non è una disciplina in cui gli esperti di sicurezza tendono ad eccellere. Il materiale informativo che può stimolare il tuo interesse è probabilmente diverso da quello che ha maggiore rilevanza per profili meno tecnici.
Se hai una divisione marketing interna, i suoi membri devono essere in grado di aiutarti a sviluppare del materiale efficace e professionale (poster, adesivi, palline antistress, ecc.). Tuttavia, non bisogna mai abbassare la guardia e, al fine di assicurare la continua attenzione verso idee nuove, a volte è necessario cercare al di fuori della propria società.
Esistono alcune aziende specializzate nell’organizzazione di programmi di sensibilizzazione alla sicurezza informatica di cui vale veramente la pena dotarsi.
4. Misura
Il vecchio adagio “per gestire una cosa è prima necessario misurarla” non è mai stato così vero. Se la tua campagna di sensibilizzazione si rivolge al rischio di phishing (un rischio sicuramente da affrontare), effettua una valutazione per capire la suscettibilità dei tuoi collaboratori.
Quindi, non smettere mai di verificare se riscontri un miglioramento. In questo modo, non solo riesci a quantificare l’efficacia del tuo materiale informativo ma potrai anche mettere alla prova ed informare le persone che ancora non hanno metabolizzato bene il tuo messaggio.
Ancora meglio, se riesci a introdurre un sistema di leggerissima “sanzione” in caso di “bocciatura”, vedrai miglioramenti ancora più rapidi. Questo tipo di approccio può prevedere la formazione obbligatoria o addirittura una politica di segnalazione dei collaboratori non conformi. Chiaramente, se non sei in grado di prendere queste misure internamente, ci sono agenzie esterne che ti potranno aiutare a creare piani di formazione adeguati.
Assicurarsi di fornire la giusta formazione e sensibilizzazione prima di tutto è l’elemento cardine di ogni attività di valutazione dei dipendenti – come si può pretendere che un dipendente si accorga di un attacco di phishing se non gli abbiamo mai insegnato a farlo? È facile dimenticare che non tutti sono esperti o interessati alla cybersicurezza.
5. E’ importante formarli da giovani
…o almeno all’inizio del rapporto di lavoro! Un efficace programma di formazione per i nuovi assunti sulla priorità della sicurezza proprio all’inizio del rapporto di lavoro spesso si rivela un investimento molto proficuo con gli anni.
Ricordati che i primi giorni di lavoro sono sempre i più difficili e la mole di lavoro è solitamente molto pesante, quindi non è quello il momento per scendere troppo nei dettagli. Piuttosto, pianta un seme il primo giorno e fallo crescere nelle settimane a seguire.
Usa qualsiasi spunto possibile. Hai un pacchetto di benvenuto? Perché non aggiungere una pagina sulla sicurezza? Quando un nuovo assunto riceve la propria dotazione informatica, perché non chiedere al service desk di dare un piccolo promemoria sulla sicurezza o inserire un collegamento rapido al materiale di formazione sul desktop o un promemoria interattivo al primo login nel sistema?
È sempre bene misurare, per questo ti consigliamo di organizzare un piccolo test da sostenere entro 30 giorni dall’assunzione.
6. Il paradigma della finestra rotta
Introdotta per la prima volta nel 1982 dai sociologi James Q. Wilson e George L. Kelling, questa teoria suggerisce che l’attenzione ai crimini più piccoli e insignificanti aiuta a creare un’atmosfera di ordine e legalità che, come tale, contribuisce a prevenire crimini più gravi e potenzialmente dannosi.
Applicato alla sicurezza, questo principio impone di non trascurare le seppur minime violazioni delle politiche aziendali. Se vedi una postazione lasciata vacante, non fare finta di niente. Se senti un collega che rivela una password a qualcuno, non ignorare il problema.
La tua capacità di mettere in pratica tutte queste misure sarà sempre limitata, per questo avrai bisogno di alleati. L’IT è probabilmente la tua prima risorsa. I membri del service desk sono i tuoi occhi e orecchie: incoraggiali il più possibile affinché ricordino sempre agli utenti quanto sia importante rispettare le politiche interne.
Anche i “promotori della sicurezza” di altre divisioni possono aiutarti. L’impiegato della contabilità che ti segnala personalmente ogni singola mail di spam può essere un po’ fastidioso, ma non dimenticare mai che è un tuo alleato e molto probabilmente sta solo cercando di dare una mano.
Lo stesso principio vale per i programmi di incentivazione – considera l’eventualità di dare come premi dei dolci o di minimo valore a chi segnala un problema. Se le segnalazioni sono importanti, per le piccole cose è tuttavia meglio delegare. Chiedi aiuto ai tuoi collaboratori affinché insegnino il modo corretto di svolgere le attività ai colleghi in difficoltà, altrimenti dovrai passare tutta la tua giornata a riprendere i dipendenti perché non indossano il cartellino identificativo.
Lascia un commento