Stormshield pubblica un interessante studio, da cui emerge l’importanza di aumentare la cybercultura nel mondo aziendale, indispensabile per la sicurezza IT.
È evidente la necessità di dotare le aziende dei migliori strumenti di protezione, tuttavia il vero segreto dietro ad una buona sicurezza informatica. È anche palese che l’attività di sensibilizzazione e formazione non possa più limitarsi a pochi concetti base. La diffusione di una vera e propria cybercultura non è più rimandabile. Secondo lo studio 2018 Cybersecurity Study di Deloitte, ben il 63% degli incidenti di sicurezza nelle imprese è cagionato dagli impiegati. Nonostante questo, come constatato da ISACA e dall’istituto CMMI nel Cybersecurity culture report 2018 , molte aziende insistono nel basare la propria sicurezza informatica essenzialmente su prodotti e servizi, senza preoccuparsi di investire nella vera prima linea di difesa: i propri dipendenti.
I cyber criminali sono bravissimi nel trovare il punto debole aziendale. Grazie ad informazioni personali pubblicamente ottenibili sui social network, scoprono gli interessi di un dato impiegato, la data di nascita dei figli o per esempio il nome del cane. Tutti elementi utili per arricchire e-mail di phising mirate o come indizio per identificare una password.
Franck Nielacny, Chief Information Officer di Stormshield L’essere umano è – di fatto – il punto debole quando si tratta di sicurezza informatica, sia che agisca accidentalmente (errore, mancato rispetto o dimenticanza delle mansioni), intenzionalmente (danneggiamento dell’azienda per diversi motivi) o che sia vittima di una violazione dei dati (intrusione malevola).
Una volta maturata la convinzione che l’essere umano debba essere al centro della politica di sicurezza dell’azienda, non rimane che far comprendere che essa riguardi tutti. Per infondere una cybercultura condivisa da tutti all’interno dell’azienda nelle migliori condizioni possibili, risulta indispensabile coinvolgere5 figure chiave, che Nielacny identifica con “Direzione, Rappresentante/i dei lavoratori, Risorse Umane, Responsabile della sicurezza IT e, infine, Responsabile IT.”
Il processo non è semplice, per molteplici ragioni. Il primo ostacolo è rappresentato dalla riluttanza degli impiegati, che vedono nei nuovi processi legati alla cybersecurity un vincolo aggiuntivo. In secondo luogo, molte aziende sono gestite a compartimenti stagni, cosa che gioca a sfavore del lavoro di squadra: una collaborazione tra impiegati ridotta all’essenziale non permette di diffondere in maniera efficace una cultura condivisa. Inoltre, l’instaurarsi della cybercultura potrebbe languire se eccessivamente imposta dall’alto. L’adesione dei collaboratori richiede un forte coinvolgimento sia del management sia dei quadri intermedi, e implica che l’utente finale e i suoi bisogni vengano posti al centro delle preoccupazioni. La sicurezza informatica infatti è efficace solo quando diventa parte delle abitudini quotidiane.
In Stormshield per esempio, una delle misure di sensibilizzazione al rischio di abuso del proprio account di posta elettronica consta di una “sanzione” alquanto insolita e “appetitosa”: se un qualsiasi dipendente lascia la sua postazione senza scollegarsi, non solo gli viene “hackerata” la casella di posta ma deve anche pagare croissant e pasticcini a tutto il team. Indubbiamente efficace. Per quanto singolare, questa è una pratica nata oltre 20 anni fa da un’idea di Milka, noto produttore di cioccolata, e molto nota in Francia sotto il nome di “ChocoBLAST”.
Bisogna inoltre ammettere che ogni azienda si approccia alla sicurezza informatica in modo differente e molte di esse hanno ancora un rapporto distante con la materia. È proprio in questi casi che è oltremodo necessario sensibilizzare gli impiegati.
Matthieu Bonenfant, Direttore Marketing di Stormshield Un utente relativamente attento può evitare autonomamente molti rischi, specialmente perché le minacce sono spesso legate ad impiegati imprudenti e distratti, piuttosto che a collaboratori mossi da cattive intenzioni.
Franck Nielacny al fine di adattare al meglio le misure di sicurezza è essenziale capire in anticipo in che modo i collaboratori si avvalgono degli strumenti disponibili e come trattano i dati critici.
Uno dei problemi da non sottovalutare è la “shadow IT” (o “infrastruttura ombra”), ovvero la propensione degli impiegati ad utilizzare nuove applicazioni per uso professionale senza prima interpellare il dipartimento IT. Un altro requisito chiave è quello di assicurarsi che tutte le procedure di sicurezza siano armoniosamente integrate nei processi lavorativi di ogni reparto, come ha correttamente sottolineato Nielacny.
Franck Nielacny Nell’era dello smart working, degli oggetti connessi e dei sistemi ERP esternalizzati, il perimetro di sicurezza interno non ha più senso di essere. Le aziende possono rinforzare le proprie misure di sicurezza ricorrendo, ad esempio, ad una migliore segmentazione del flusso di dati. Quest’ultima, concepita secondo il principio « zero trust network», permette di confinare una minaccia evitando che si diffonda.
