Cyber risk is a people risk: a cosa serve la cultura sulla sicurezza informatica?

09/11/2017
di Silvia Calissi

La security per un’azienda è molto più di un problema tecnico. Un approccio basato esclusivamente su potenti software difensivi rischia di essere un investimento cospicuo ma insufficiente a proteggere la rete aziendale. La componente umana del rischio, quella che sfrutta le debolezze psicologiche e le lacune informative delle persone, è la sfida più grande da riconoscere e affrontare in modo lungimirante. L’obiettivo deve essere quello di ripensare la cybersecurity aziendale come un processo integrato in cui i dipendenti sono al centro della strategia e coinvolti nel contrasto alle minacce.

Primo passo: riconoscere la tipologia dei dati da difendere. I soggetti che operano nella cyber-criminalità mirano a diverse tipologie di dati: da un lato possono indirizzare truffe per prelevare dati identificativi o sanitari oppure per ottenere accessi a conti e carte di credito, sottraendo modiche cifre in attacchi quantitativamente massivi. Dall’altro lato mirano alle informazioni di proprietà intellettuale in ottica di business o spionaggio industriale. Non solo nel secondo caso le aziende sono miniere d’oro, ma spesso mancano di un’intelligenza collaborativa in cui gli IT classificano e predispongono piani di difesa per tutti i nuovi processi, database, progetti di business che vengono implementati da altre direzioni.

CybersecuritySocial engineering e il lavoro smart. Ciò che le aziende sottovalutano è il successo dei criminali, come dimostrano gli attacchi più recenti, caratterizzati tutti da una componente di ingegneria sociale: l’obiettivo è quello di individuare il modo migliore per indurre la persona a fornire spontaneamente le informazioni. Dai malware e i baiting ai phishing più mirati, conosciamo bene gli esempi più conclamati emersi nelle cronache. Spesso si trascura il fatto che l’aumento degli attacchi di questo tipo sono concomitanti alla tendenza aziendale di far scegliere ai collaboratori strumenti, luoghi, orari e modalità di lavoro al di fuori del perimetro aziendale: smart working e byod implicano una commistione di dati personali e aziendali, una gestione solitaria di notizie rilevanti per il business, passaggi di informazioni tra dispositivi, infrastrutture e software impossibili da controllare. A maggior ragione, a questa responsabilizzazione del dipendente deve poter seguire un piano di consapevolezza culturale.

La compliance rafforza la centralità della formazione. A livello europeo la Direttiva NIS e il Regolamento sulla Data Protection, a livello italiano il Quadro Strategico per la sicurezza dello spazio cibernetico e il Piano Nazionale per la protezione cibernetica e la sicurezza informatica sono le principali iniziative normo-politiche che disciplinano la promozione e la diffusione della cultura della sicurezza informatica. In particolare, il Regolamento sulla Data Protection (GDPR) è la base giuridica che sancisce l’obbligo formativo per chiunque tratti dati personali: sarà compito del Titolare non solo prevedere dei limiti relativi alla qualità e alla quantità di dati personali a cui hanno accesso i dipendenti, ma anche garantire una formazione costante e sempre aggiornata, specialmente nei momenti di ingresso in servizio, in occasione di cambiamenti di mansioni, di introduzione di nuovi strumenti. Tuttavia, progetti formativi legati meramente agli obblighi di legge, pur mettendo le aziende al riparo da sanzioni, sono mal tollerati dai discenti se non hanno un collegamento con le attività quotidiane e con gli esempi calzanti per il proprio business e la propria responsabilità in azienda. Per cui è difficile pensare che siano efficaci prodotti standardizzati; piuttosto è necessario che i programmi siano settorializzati per tipologia di trattamenti per funzioni, proponendo moduli approfonditi a seconda della gestione dei flussi di dati trattati. Le policy e i rischi di cybersecurity vanno condivisi con le varie tipologie di dipendenti, ovvero non solo con quelli più sensibili e consapevoli ma soprattutto con chi pensa sia un dovere solo dell’azienda preservare un ambiente cyber sicuro oppure, addirittura, vede le policy di sicurezza come un ostacolo all’innovazione e al business.

Una nuova cultura sulla sicurezza informatica si diffonde nelle aziende solo partendo da una formazione condivisa, responsabilizzante e orientata alle persone, seguendo le logiche dell’ingegneria sociale e ribaltandole a favore della protezione aziendale.

Pubblicato su Caffé Digitale – The Innovation Group

Riproduzione riservata ©

ALTRE NEWS

Controlli difensivi e consenso dei lavoratori: la nuova “visione” della Cassazione

E’ ormai noto come l’articolo 4 della legge 300/1970 vieti qualsiasi tipo di controllo a distanza sui lavoratori e disciplini tassativamente i casi in cui… Leggi Tutto

Impronta della mano e privacy dei lavoratori

Uso dei dati biometrici per particolari esigenze di sicurezza e per tempi strettamente necessari. Il Garante ha autorizzato, con particolari cautele, l’uso dei dati ricavati… Leggi Tutto

Speciale Proprietà intellettuale. Marchi, domini e copyright: la tutela in India

Proprietà Intellettuale India Proprietà Intellettuale in India, come avviene la protezione del portafogli IP in quel Paese? Prosegue il nostro viaggio intorno al Global-IP. L’economia… Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Colin Focus Day – GDPR e Compliance Software: la metodologia certificata di Colin & Partners

Appuntamento a Milano il 5 febbraio dalle ore 14.00.

Affronteremo i 5 temi chiave della Compliance di cui tiene ampiamente conto la metodologia certificata e lo schema di analisi di Colin & Partners.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form






    Utilizzando questo modulo accetti la memorizzazione e la gestione dei tuoi dati da questo sito web.