Cybersecurity: il giusto equilibrio tra awareness e cultura del comportamento
L’importanza del fattore umano
Quando pronuncio la parola Cybersecurity spesso il mio interlocutore tende ad irrigidirsi o arretrare, quasi a simulare un gesto scaramantico.
Oggi gli attacchi subiti dalle nostre organizzazioni stanno aumentando in modo esponenziale: secondo quanto riporta una ricerca di Trend Micro Research, l’Italia è il quarto paese più colpito in tutto il mondo dalle minacce informatiche nei primi sei mesi del 2021.
Ma quali sono le forme di attacco più frequenti? Le più classiche e diffuse riguardano e-mail di spam, malware e siti maligni.
I nostri collaboratori spesso vengono ingannati da allegati che sembrano essere attendibili in quanto riprodotti su carta intestata di clienti noti, o fuorviati da nomi conosciuti o firme riconoscibili.
I benefici di un progetto di security awareness
È quindi importante che l’azienda fornisca adeguate istruzioni su come comportarsi nelle più comuni situazioni di rischio potenziale, in particolare là dove queste si manifestano nel corso della normale operatività quotidiana, quale appunto può essere l’apertura di una e-mail.
Fornire corrette informazioni sui comportamenti da adottare è diventato ancor più urgente ed importante in conseguenza della larga diffusione dello smart working, che ha portato (meglio sarebbe dire ha accelerato) l’allargamento dei tradizionali confini della rete aziendale, che non può più essere suddivisa fra “dentro e fuori”.
Oggi la tecnologia ci viene incontro e ci abbraccia per incoraggiarci e infondere maggior serenità ma è necessario trovare il giusto compromesso coinvolgendo tutti i componenti delle organizzazioni: la consapevolezza, la famosa awareness, va incentivata affinché ognuno si assuma la responsabilità delle proprie azioni e attivi i radar per individuare possibili minacce.
I percorsi formativi continui possono costituire una risposta a questa esigenza: incoraggiare lo sviluppo di hard e soft skills pone la persona al centro favorendone la crescita personale e la capacità di risposta.
Ultimamente mi è capitato di relazionarmi con un cliente il quale mi raccontava di aver inserito tra le regole di comportamento informatico, il divieto di salvare i documenti sui propri dispositivi in locale.
Azioni come questa potrebbero risultare efficaci ma imporre dei “divieti di comportamento” a mio avviso agisce sull’inconscio delle nostre persone.
Strumenti tecnologici a supporto
È qui allora che interviene in aiuto la tecnologia con soluzioni Cloud che possano permettere di simulare desktop locali agevolando la user experience e garantendo al tempo stesso la sicurezza aziendale.
Ma questo è solo un esempio: esiste molto di più.
Ora è possibile trovare il giusto connubio tra soluzioni tecnologiche e implementazione della cultura aziendale focalizzata sulla sicurezza informatica.
La tecnologia mette a disposizione prodotti mirati dedicati alla protezione dei dispositivi e alla gestione di regole di collaborazione e condivisione; la formazione continua dà la possibilità ad ogni utente di conoscere la tecnologia e apprendere modalità di comportamento attente e consapevoli.
E quest’ultimo beneficio va ad agire anche sulla vita personale dei nostri collaboratori, che possono essere messi nella posizione di rispondere anche ad attacchi privati sui dispositivi di casa.
I confini tra vita lavorativa e vita privata stanno diventando sempre più labili, se non altro dal punto di vista dei dispositivi utilizzati e dai comportamenti adottati.
Riuscire a coinvolgere gli utenti in percorsi di crescita personale anche da un punto di vista di Cybersecurity può solamente agevolare i benefici da ambo le parti.
La tecnologia oggi è di sicuro abilitante ma non possiamo permetterci di incorrere nell’errore di affidare esclusivamente alle soluzioni tecnologie la protezione dei nostri asset.