In ogni azienda, costruire una consapevolezza della cultura informatica dovrebbe essere parte della strategia a lungo termine della sicurezza IT. In realtà, le aziende spesso non vanno oltre la condivisione di qualche strumento di formazione di base sulla sicurezza informatica per i dipendenti. Certo non è possibile costruire una tale cultura in un giorno. Ma da dove si dovrebbe iniziare?
Il successo delle misure di cybersecurity in un’azienda dipendono non solo dagli esperti di sicurezza IT o amministratori IT, ma dipende anche da ogni individuo che ha accesso ai sistemi informatici dell’azienda – dal CEO agli impiegati, dai collaboratori esterni a quelli interni. In breve, ognuno è responsabile dei dati della propria azienda e deve adottare tutte le misure necessarie per proteggerli.
Prova a pensare a una cultura di consapevolezza informatica come qualcosa che nasce dalla collaborazione di tutte le persone dell'organizzazione. Tutti possono fare qualcosa per renderla migliore.
Se sei responsabile della sicurezza IT della tua organizzazione, di seguito troverai 5 modi per assicurarsi che le persone che fanno parte della tua azienda capiscano l’importanza di adottare un comportamento sicuro online e una corretta gestione dei dispositivi aziendali.
1) Assicurati che ognuno conosca cosa deve e non deve fare per mantenere al sicuro i dati
Non è così semplice come dirlo. In ogni azienda ci sono dipendenti che ignorano le richieste di aggiornamento del software del computer o coloro a cui non interessa quali applicazioni scaricano sui dispositivi aziendali. Potrebbero farlo perché non sanno che app specifiche possono causare danni o semplicemente perché sono troppo occupati per pensarci e si affidano al reparto IT per gestire tutti questi problemi e rischi.
Nel mondo aziendale, l’applicazione delle politiche di sicurezza sono molto varie in termini di come vengono definite le restrizioni o le libertà che ciascun dipendente ha quando maneggia i propri dispositivi elettronici. Tuttavia, il miglior modo di prevenire incidenti di sicurezza è spiegare a tutti i dipendenti, fin dall’inizio, quali sono i rischi a cui si va incontro e quali le azioni per evitarli. Dall’altra parte, è necessario fornire una guida chiara su come agire nel caso accada qualcosa. E’ importante che i dipendenti sappiano cosa fare e chi informare in caso di necessità.
2) Investi tempo di qualità nella formazione, in collaborazione con gli esperti del settore
Come esperto IT, probabilmente saprai la natura tecnica degli attacchi informatici, nonché le situazioni in cui si verificano tali incidenti. Ma non è abbastanza per un buon training. “La chiave è trovare qualcuno che veicoli questo tipo di informazioni alle aziende in un modo chiaro e interessante” dice Daniel Chromek, Chief Information Security Officer di ESET, in un’intervista sulla costruzione della consapevolezza informatica.
Impostare un corso di formazione sul tema della cybersecurity nella tua azienda è sicuramente un buon inizio. Se vuoi essere sicuro che la tua platea percepisca realmente il valore di ciò che tu stai illustrando loro, è necessario seguire alcuni passaggi fondamentali. Coinvolgere esperti in pedagogia, psicologi e esperti di grafica ti aiuterà a trasmettere le informazioni chiave in modo sia coinvolgente che divertente.
Psicologi o formatori esperti possono aggiungere elementi interessanti alla formazione: ad esempio, la conoscenza del mondo del lavoro da parte di psicologi sociali può aiutare a comprendere i modi in cui la tecnologia influenza l'interazione sociale, gli atteggiamenti e il comportamento. La Social Engineering lavora con la paura, la pressione del tempo e il ricatto; quindi, è bene capire anche come gestire questi contesti.
Quale tipo di personalità tende a cadere nella trappola del phishing? Leggi stress e lavoro in remoto: in che modo la tua personalità influenza i tuoi comportamenti online?
3) Utilizza episodi e esempi pratici per illustrare i danni che un cyberattacco può causare
Se si verifica un incidente di sicurezza informatica sul luogo di lavoro, utilizzalo come strumento per educare ulteriormente sia i dipendenti che i dirigenti. Richiamando questi eventi della vita reale, puoi migliorare significativamente la consapevolezza della sicurezza informatica in tutta l'organizzazione. L’uso di esempi reali permette di illustrare come un cyberattacco può sembrare oggi, perché è così efficace e quali sono le possibili conseguenze.
Un modo per comunicarlo potrebbe essere tramite una newsletter aziendale. Ma se i tuoi colleghi sono abituati a comunicare attraverso un altro canale come MS Teams o Slack, approfittane.
4) Monitora i trend dei crimini informatici
Uno dei ruoli dei responsabili IT è quello di tenere il passo con gli eventi di sicurezza. Poiché gli attacchi informatici sono in continua evoluzione, dovresti seguire le ultime notizie e le tendenze. Il modo più semplice per farlo è prendere l'abitudine di controllare regolarmente una piattaforma professionale rispettabile, come il blog WeLiveSecurity di ESET, che mette in guardia contro nuovi tipi di attacchi informatici e fornisce suggerimenti sulla protezione.
Se c'è qualcosa di veramente significativo nelle notizie d’attualità, condividilo con tutti i dipendenti. Sii ragionevole con la frequenza e l'importanza di questi avvisi, altrimenti i tuoi colleghi potrebbero smettere rapidamente di leggerli.
5) Verifica il livello di consapevolezza di ciascuno
Esistono molti modi per farlo, ma dovrebbero basarsi sul concetto di formazione a lungo termine, che riflette gli attuali problemi di sicurezza informatica.
Se tu, come molti altri, sei ancora all'inizio della costruzione della cultura di consapevolezza informatica nella tua azienda, non importa. Considera il seguente esempio di domande uno strumento attraverso cui puoi “educare” i tuoi colleghi. Puoi adattare le domande o aggiungerne di tue. Potresti anche offrire un premio simbolico per i partecipanti.
Questo quiz può aiutarti a evidenziare le lacune nella consapevolezza della sicurezza nella tua azienda e valutare ciò che deve essere affrontato nei prossimi step.
