Al di là dell’adozione degli indispensabili strumenti di protezione, la chiave per una buona riuscita in materia di cybersecurity risiede in una sola parola: l’essere umano. Tuttavia, sensibilizzare e formare gli impiegati sui rischi informatici non può limitarsi all’applicazione di qualche regola elementare. Significa anche sviluppare una vera e propria «cybercultura» all’interno delle aziende.
Secondo lo studio «2018 Cybersecurity Study» di Deloitte, il 63% degli incidenti di sicurezza nelle imprese è cagionato dagli impiegati. Eppure, come constatato da ISACA e dall’istituto CMMI nel “Cybersecurity culture report 2018”, numerose aziende basano la sicurezza informatica prettamente su scelte tecnologiche, omettendo di investire in quella che dovrebbe rappresentare la prima linea di difesa: i dipendenti.
«Cybercultura» tra gli impiegati: un bisogno impellente
I criminali informatici sono abili nell’identificare l’anello debole all’interno dell’azienda. Sfruttano notoriamente informazioni personali visibili pubblicamente sui social network rilevando gli interessi di un dato impiegato, la data di nascita dei figli o ancora il nome del cane, elementi utili per arricchire e-mail phising mirate o come indizio per identificare una password.
«L’essere umano è – di fatto – il punto debole quando si tratta di sicurezza informatica, sia che agisca accidentalmente (errore, mancato rispetto o dimenticanza delle mansioni), intenzionalmente (danneggiamento dell’azienda per diversi motivi) o che sia vittima di una violazione dei dati (intrusione malevola)”, sottolinea Franck Nielacny, Chief Information Officer di Stormshield.
La sicurezza informatica in azienda? Efficace solo se parte della quotidianità
Una volta maturata la convinzione che l’essere umano debba essere al centro della politica di sicurezza dell’azienda, non rimane che far comprendere che essa riguardi tutti. Per infondere una «cybercultura» condivisa da tutti all’interno dell’azienda nelle migliori condizioni possibili, risulta indispensabile coinvolgere 5 figure chiave, che Nielacny identifica con “Direzione, Rappresentante/i dei lavoratori, Risorse Umane, Responsabile della sicurezza IT e, infine, Responsabile IT.”
Il processo non è semplice, per diversi (buoni) motivi. Il primo ostacolo è rappresentato dalla riluttanza degli impiegati, che vedono nei nuovi processi legati alla cybersecurity un vincolo aggiuntivo. In secondo luogo, molte aziende sono gestite a compartimenti stagni, cosa che gioca a sfavore del lavoro di squadra: una collaborazione tra impiegati ridotta all’essenziale non permette di diffondere in maniera efficace una cultura condivisa. Inoltre, l’instaurarsi della “cybercultura” potrebbe languire se eccessivamente imposta dall’alto. L’adesione dei collaboratori richiede un forte coinvolgimento sia del management sia dei quadri intermedi, e implica che l’utente finale e i suoi bisogni vengano posti al centro delle preoccupazioni. La sicurezza informatica infatti è efficace solo quando diventa parte delle abitudini quotidiane.
A Stormshield per esempio, una delle misure di sensibilizzazione al rischio di abuso del proprio account di posta elettronica consta di una “sanzione” alquanto insolita e “appetitosa”: se un qualsiasi dipendente lascia la sua postazione senza scollegarsi, non solo gli viene “hackerata” la casella di posta ma deve anche pagare croissant e pasticcini a tutto il team. Indubbiamente efficace. Per quanto singolare, questa è una pratica nata oltre 20 anni fa da un’idea di Milka™, noto produttore di cioccolata, e molto nota in Francia sotto il nome di “ChocoBLAST”.
Proporre delle soluzioni di protezione che si adattino all’uso quotidiano
Bisogna altresì riconoscere che ogni impresa tratta la sicurezza informatica a proprio modo e molte di esse hanno ancora un rapporto distante con la materia. È proprio in questi casi che è oltremodo necessario sensibilizzare gli impiegati. “Un utente relativamente attento può evitare autonomamente molti rischi” ricorda Matthieu Bonenfant, Direttore Marketing di Stormshield, “specialmente perché le minacce sono spesso legate ad impiegati imprudenti e distratti, piuttosto che a collaboratori mossi da cattive intenzioni”.
Secondo Nieclany “al fine di adattare al meglio le misure di sicurezza è essenziale capire in anticipo in che modo i collaboratori si avvalgono degli strumenti disponibili e come trattano i dati critici”. Uno dei problemi da non sottovalutare è la “shadow IT” (o “infrastruttura ombra”), ovvero la propensione degli impiegati ad utilizzare nuove applicazioni per uso professionale senza prima interpellare il dipartimento IT. Un altro requisito chiave è quello di assicurarsi “che tutte le procedure di sicurezza siano armoniosamente integrate nei processi lavorativi di ogni reparto”, aggiunge il Chief Information Officer di Stormshield.
Non da ultimo bisogna considerare il lavoro flessibile: “Nell’era dello smart working, degli oggetti connessi e dei sistemi ERP esternalizzati, il perimetro di sicurezza interno non ha più senso di essere. Le aziende possono rinforzare le proprie misure di sicurezza ricorrendo, ad esempio, ad una migliore segmentazione del flusso di dati. Quest’ultima, concepita secondo il principio « zero trust network», permette di confinare una minaccia evitando che si diffonda”, conclude Nielacny.