La sicurezza informatica integrata alla cultura aziendale

Il tema della sicurezza informatica dovrebbe essere centrale e apertamente discusso in molte aziende. Non di rado in caso di incidenti imprevisti, il dito viene puntato esclusivamente al dipartimento IT. La sicurezza informatica dovrebbe essere invece un argomento esteso a tutto il personale dell’azienda. Tra tentativi di phishing e attacchi DDoS, chi si muove nel web è esposto potenzialmente a centinaia di pericoli. Non importa oramai se l’utente accede a Internet da un dispositivo privato o dal PC in ufficio: la minaccia è estesa a ogni dispositivo.

I problemi rilevati da uno studio sulla sicurezza informatica

Il Cybersecurity Culture Report 2018 dell’ISACA e del CMMI Institute mostra come le misure per la sicurezza informatica abbiano già preso piede in buona parte delle aziende, eppure sono ancora lontane dal raggiungere la copertura desiderata. Dei 4.815 intervistati, solo il 5% ha dichiarato che la propria azienda ha una solida cultura in tema di sicurezza informatica. Il restante 95% invece vede ancora margini di miglioramento. Nove su dieci partecipanti allo studio sono fiduciosi che ulteriori sforzi porteranno a una maggiore redditività per l’azienda. In molti casi, più precisamente, il 42% delle aziende, manca di un piano ben studiato. Ciò influisce anche sui dipendenti: il 19% lamenta che la propria azienda abbia poca o nessuna idea di come la sicurezza informatica sia un fattore centrale. Chi è responsabile della sicurezza informatica in azienda? Secondo la maggior parte degli intervistati il CISO (60%) o il CIO (47%). A differenza dei risultati del report, ISACA e il CMMI Institute raccomandano alle aziende di costruire un team responsabile in materia di cybersecurity che combini le competenze e le conoscenze dei professionisti dell’amministrazione, della sicurezza delle informazioni, dell’IT, delle risorse umane, legali e del marketing. Nessuno deve restare fuori.

Ogni dipendente è responsabile della sicurezza informatica

In che modo il tema della sicurezza informatica può essere ancorato nella mente dei dipendenti, dal tirocinante all’amministratore delegato? Il modo più semplice per entrare nei sistemi di un’azienda passa ancora attraverso i dipendenti. Secondo il Cybersecurity Culture Report la maggioranza delle aziende intende effettuare progressi in sicurezza informatica attraverso la formazione dei propri dipendenti (80%) o attraverso linee guida comportamentali (79%). In verità, più semplice a dirsi che a farsi: attuare le misure necessarie può rivelarsi un compito molto difficile. In un articolo della Harvard Business Review Maarten Van Horenbeeck spiega perché secondo lui questi metodi si rivelano non del tutto efficaci:

Le direttive sono spesso troppo complesse

Le norme spesso associate allo sforzo non aiutano certi dipendenti a prendere seriamente la sicurezza informatica. Ad esempio, Van Horenbeeck cita il normale cambio di password richiesto da molte aziende. I dipendenti spesso si RIDUCONO a cambiare in maiuscolo la prima lettera o ad aggiungere un numero. Molti dipendenti ignorano l’importanza di password più lunghe e complesse e finiscono per magari per scriverle visibili a tutti sulla propria scrivania.

La sicurezza informatica richiede un atteggiamento diverso. Per prevenire questi problemi in modo professionale, le aziende dovrebbero rinunciare alle ormai obsolete regole e affidarsi a soluzioni come password manager o l’identificazione a due fattori.

I corsi di formazione affaticano i dipendenti

In linea di principio, la formazione è importante. Spesso le giornate formative sono numerose e i dipendenti vengono bombardati d’informazioni. Non c’è da sorprendersi se l’attenzione cali progressivamente. Una soluzione sarebbe quella di offrire ai dipendenti una formazione individuale a seconda delle proprie esigenze e della conoscenza in materia di sicurezza informatica.

Impopolarità dei responsabili IT

Sfortunatamente, il reparto IT gode spesso di una cattiva reputazione. Molti dipendenti associano all’IT principalmente ad aspetti negativi come lunghi tempi di attesa o monitoraggio. Le aziende sono obbligate a rafforzare il rapporto tra IT e il resto dell’azienda. Solo in questo modo la sicurezza informatica arriva anche nelle menti dei dipendenti. La domanda a questo punto è come? Van Horenbeeck, ad esempio, nel suo articolo sostiene la necessità di una cultura aziendale aperta. A tal fine, a suo avviso, consiglia l’introduzione di “orari di ricevimento”, vale a dire finestre temporali in cui i dipendenti possono esprimere le proprie preoccupazioni all’IT.

Fortunatamente, sempre più aziende stanno oggi riconoscendo l’importanza della sicurezza informatica rendendo la questione parte integrante della loro cultura aziendale con misure come linee guida comportamentali o formazione dei dipendenti. Tuttavia, affinché questi passaggi abbiano davvero successo, non è necessario solo un progetto ben ponderato. Tutto deve essere studiato affinché i dipendenti possano implementarlo nella misura desiderata.

Potrebbe interessarti leggere anche
Se hai un e-commerce non puoi ignorare la crittografi SSL
La sicurezza informatica necessità di più Millenial!
WLAN o LAN: qual è la rete più sicura, veloce e affidabile?

Etienne Roser

Redattore online appassionato del mondo digitale. Voglio informare i lettori sui vari temi legati al WWW.

X