Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

Il fattore umano, una vulnerabilità nei processi di sicurezza aziendale

06 Nov 2018

Il fattore umano rappresenta, sul fronte della sicurezza informatica, non solamente una vulnerabilità, ma spesso quella più rilevante in un contesto di analisi del rischio.

Trasformare il personale in una forte risorsa di sicurezza richiede non solo formazione e consapevolezza ma, come racconta il bell’articolo Sicurezza informatica, serve un “firewall umano”: come costruirlo pubblicato su AgendaDigitale, una vera e propria trasformazione dal punto di vista comportamentale e culturale.

Per raggiungere questo obiettivo è necessario sviluppare una intensa e mirata attività di formazione, servendosi di professionisti dotati di ottime capacità comunicative e che abbiano familiarità con i concetti di apprendimento e conoscenza di una varietà di strumenti e tecniche.

Per disporre di un efficiente “firewall” umano bisogna seguire cinque passaggi fondamentali:

  • individuare gli obiettivi: identificando eventuali requisiti esterni, accertando le lacune e le vulnerabilità che necessitano di controllo, identificando e quantificando rischi, classificando e indirizzando opportunamente i ruoli interni che hanno esigenze di sicurezza diverse, stabilendo criteri di successo;
  • ottenere programmi approvati: sviluppando un caso aziendale di riferimento, coinvolgendo ed informando i propri colleghi e concentrandosi sul “firewall umano”, includendo una descrizione chiara dei rischi che si ha intenzione di ridurre;
  • mobilitare un team di esperti: scegliendo almeno un esperto di comunicazione, cercando esperti interni, scegliendo attentamente l’aiuto esterno, usando un tocco personale e rendendo il contenuto leggibile;
  • monitorare il programma: festeggiando guadagni anche moderati, e non solamente i cambiamenti radicali, condividendo con tutti i propri successi;
  • implementare un ciclo di feedback: rinforzando le aree deboli, assicurandosi che i propri contenuti siano aggiornati e accurati, mantenendo il controllo della propria attività e posizione di sicurezza organizzativa.

In questo momento storico, segnato dall’avvento del Regolamento UE n. 2016/679 sulla protezione dei dati personali, più che mai risulta di vitale importanza che ogni azienda inizi a (ri)valutare la propria gestione della sicurezza informatica.

E se la formazione del personale sull’importanza di questo processo risulta fondamentale per poter ridurre i problemi di sicurezza IT dovuti ad errori umani, non si può non considerare l’approccio globale da mettere in atto per attuare efficaci strategie di protezione dei dati.

Come ci racconta l’articolo su ZeroUno Sicurezza informatica in azienda: sei regole essenziali per proteggere i dati sensibili, i passi base di un approccio globale sono:

  • sapere quali sono i dati da proteggere, dove si trovano e chi ne è responsabile realizzando e mantenendo un registro dei dati;
  • creare un elenco dei dipendenti che hanno accesso ai dati sensibili, riducendo al minimo i privilegi e concedere l’accesso solo ai necessari;
  • effettuare un’analisi dei rischi al fine di individuare eventuali potenziali pericoli per i dati dell’organizzazione, riducendo così il rischio di dover poi far fronte a una violazione ben più costosa;
  • installare il software di protezione affidabili ed eseguire scansioni regolari per ridurre al minimo la minaccia di una perdita di dati per mano di criminali informatici;
  • eseguire regolarmente il backup dei dati più importanti e sensibili rappresenta una dimensione fondamentale della sicurezza IT.

E se i passaggi sopra esposti non sono sicuramente la panacea ad ogni problema ed in alcuni casi rappresentano proprio il “minimo indispensabile” della sicurezza di una azienda, rappresentano altresì un minimo comune denominatore di quelle società che sono riuscite ad implementare strategie efficaci e durature. E, sfortunatamente, la cronaca di ogni giorno è densa di casi di effrazioni digitali ai danni di realtà per cui anche questi piccoli passi paiono essere ben al di là delle capacità di implementazione aziendale.

A cura di Marco Rizzi, Information & Cyber Security Advisor presso P4I – Partners4Innovation e Gaia Rizzato, Trainee Information & Cyber Security presso P4I – Partners4Innovation

@RIPRODUZIONE RISERVATA

Articolo 1 di 5