Cyber risk is a people risk: a cosa serve la cultura sulla sicurezza informatica?

09/11/2017
di Silvia Calissi

La security per un’azienda è molto più di un problema tecnico. Un approccio basato esclusivamente su potenti software difensivi rischia di essere un investimento cospicuo ma insufficiente a proteggere la rete aziendale. La componente umana del rischio, quella che sfrutta le debolezze psicologiche e le lacune informative delle persone, è la sfida più grande da riconoscere e affrontare in modo lungimirante. L’obiettivo deve essere quello di ripensare la cybersecurity aziendale come un processo integrato in cui i dipendenti sono al centro della strategia e coinvolti nel contrasto alle minacce.

Primo passo: riconoscere la tipologia dei dati da difendere. I soggetti che operano nella cyber-criminalità mirano a diverse tipologie di dati: da un lato possono indirizzare truffe per prelevare dati identificativi o sanitari oppure per ottenere accessi a conti e carte di credito, sottraendo modiche cifre in attacchi quantitativamente massivi. Dall’altro lato mirano alle informazioni di proprietà intellettuale in ottica di business o spionaggio industriale. Non solo nel secondo caso le aziende sono miniere d’oro, ma spesso mancano di un’intelligenza collaborativa in cui gli IT classificano e predispongono piani di difesa per tutti i nuovi processi, database, progetti di business che vengono implementati da altre direzioni.

CybersecuritySocial engineering e il lavoro smart. Ciò che le aziende sottovalutano è il successo dei criminali, come dimostrano gli attacchi più recenti, caratterizzati tutti da una componente di ingegneria sociale: l’obiettivo è quello di individuare il modo migliore per indurre la persona a fornire spontaneamente le informazioni. Dai malware e i baiting ai phishing più mirati, conosciamo bene gli esempi più conclamati emersi nelle cronache. Spesso si trascura il fatto che l’aumento degli attacchi di questo tipo sono concomitanti alla tendenza aziendale di far scegliere ai collaboratori strumenti, luoghi, orari e modalità di lavoro al di fuori del perimetro aziendale: smart working e byod implicano una commistione di dati personali e aziendali, una gestione solitaria di notizie rilevanti per il business, passaggi di informazioni tra dispositivi, infrastrutture e software impossibili da controllare. A maggior ragione, a questa responsabilizzazione del dipendente deve poter seguire un piano di consapevolezza culturale.

La compliance rafforza la centralità della formazione. A livello europeo la Direttiva NIS e il Regolamento sulla Data Protection, a livello italiano il Quadro Strategico per la sicurezza dello spazio cibernetico e il Piano Nazionale per la protezione cibernetica e la sicurezza informatica sono le principali iniziative normo-politiche che disciplinano la promozione e la diffusione della cultura della sicurezza informatica. In particolare, il Regolamento sulla Data Protection (GDPR) è la base giuridica che sancisce l’obbligo formativo per chiunque tratti dati personali: sarà compito del Titolare non solo prevedere dei limiti relativi alla qualità e alla quantità di dati personali a cui hanno accesso i dipendenti, ma anche garantire una formazione costante e sempre aggiornata, specialmente nei momenti di ingresso in servizio, in occasione di cambiamenti di mansioni, di introduzione di nuovi strumenti. Tuttavia, progetti formativi legati meramente agli obblighi di legge, pur mettendo le aziende al riparo da sanzioni, sono mal tollerati dai discenti se non hanno un collegamento con le attività quotidiane e con gli esempi calzanti per il proprio business e la propria responsabilità in azienda. Per cui è difficile pensare che siano efficaci prodotti standardizzati; piuttosto è necessario che i programmi siano settorializzati per tipologia di trattamenti per funzioni, proponendo moduli approfonditi a seconda della gestione dei flussi di dati trattati. Le policy e i rischi di cybersecurity vanno condivisi con le varie tipologie di dipendenti, ovvero non solo con quelli più sensibili e consapevoli ma soprattutto con chi pensa sia un dovere solo dell’azienda preservare un ambiente cyber sicuro oppure, addirittura, vede le policy di sicurezza come un ostacolo all’innovazione e al business.

Una nuova cultura sulla sicurezza informatica si diffonde nelle aziende solo partendo da una formazione condivisa, responsabilizzante e orientata alle persone, seguendo le logiche dell’ingegneria sociale e ribaltandole a favore della protezione aziendale.

Pubblicato su Caffé Digitale – The Innovation Group

Riproduzione riservata ©

ALTRE NEWS

Telelavoro: CCNL per le Telecomunicazioni

L´ultimo anno ha certamente rappresentato un punto di svolta per il telelavoro. Parallelamente al continuo ed inarrestabile sviluppo di Internet e di tutte le attività… Leggi Tutto

DI & P Srl vi aspetta a SMAU Milano 2013

Manca poco. Sta per arrivare uno degli eventi più autorevoli del panorama ICT nazionale. Stiamo parlando dell’edizione 2013 di SMAU Milano, terreno di incontro e confronto… Leggi Tutto

GDPR: best practices, raccomandazioni e aspetti da considerare

Si è svolto a Roma Cybersecurity Summit 2018, l’evento organizzato da TIG con l’obiettivo di fare il punto sulle principali tematiche di cyber security tenendo… Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Siamo felici di dare il nostro contributo in numerosi eventi che trattano di nuove tecnologie e business digitale sotto vari aspetti. Il nostro apporto si ispira ai temi di interesse legale che, sempre più spesso, coinvolgono l’intera organizzazione.

Inoltre, a cadenza mensile, organizziamo il Colin Focus Day, un incontro di approfondimento gratuito sempre molto apprezzato. A Milano, o in videoconferenza, il Colin Focus Day è occasione di confronto e networking su temi legali-informatici e business.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form