Stormshield: come fare cybercultura nelle aziende

La chiave per un’efficace cybersecurity risiede nell’essere umano, ma sensibilizzare e formare gli impiegati significa anche sviluppare una vera e propria cybercultura all’interno delle aziende. E non è per nulla facile.

cybercultura

Secondo lo studio 2018 Cybersecurity Study di Deloitte il 63% degli incidenti di sicurezza nelle imprese è causato dagli impiegati. Eppure, come constatato da ISACA e dall’istituto CMMI nel Cybersecurity Culture Report 2018, numerose aziende basano la sicurezza informatica prettamente su scelte tecnologiche, omettendo di investire in quella che dovrebbe rappresentare la prima linea di difesa: i dipendenti.

I criminali informatici sono abili nell’identificare l’anello debole all’interno dell’azienda. Sfruttano notoriamente informazioni personali visibili pubblicamente sui social network rilevando gli interessi di un dato impiegato, la data di nascita dei figli o ancora il nome del cane, elementi utili per arricchire e-mail phising mirate o come indizio per identificare una password.

“L’essere umano è di fatto il punto debole quando si tratta di sicurezza informatica, sia che agisca accidentalmente (errore, mancato rispetto o dimenticanza delle mansioni), intenzionalmente (danneggiamento dell’azienda per diversi motivi) o che sia vittima di una violazione dei dati (intrusione malevola)” sottolinea Franck Nielacny, CIO di Stormshield.

Una volta maturata la convinzione che l’essere umano debba essere al centro della politica di sicurezza dell’azienda, non rimane che far comprendere che essa riguardi tutti. Per infondere una cybercultura condivisa da tutti all’interno dell’azienda nelle migliori condizioni possibili, risulta indispensabile coinvolgere 5 figure chiave, che Nielacny identifica con Direzione, Rappresentante/i dei lavoratori, Risorse Umane, Responsabile della sicurezza IT e, infine, Responsabile IT.

sicurezza aziendale

Il processo però non è semplice. Il primo ostacolo è rappresentato dalla riluttanza degli impiegati, che vedono nei nuovi processi legati alla cybersecurity un vincolo aggiuntivo. In secondo luogo, molte aziende sono gestite a compartimenti stagni, cosa che gioca a sfavore del lavoro di squadra; una collaborazione tra impiegati ridotta all’essenziale non permette di diffondere in maniera efficace una cultura condivisa.

Inoltre, l’instaurarsi della “cybercultura” potrebbe languire se eccessivamente imposta dall’alto. L’adesione dei collaboratori richiede un forte coinvolgimento sia del management sia dei quadri intermedi, e implica che l’utente finale e i suoi bisogni vengano posti al centro delle preoccupazioni. La sicurezza informatica infatti è efficace solo quando diventa parte delle abitudini quotidiane.

A Stormshield per esempio, una delle misure di sensibilizzazione al rischio di abuso del proprio account di posta elettronica consta di una sanzione decisamente atipica. Se infatti un qualsiasi dipendente lascia la sua postazione senza scollegarsi, non solo gli viene “hackerata” la casella di posta ma deve anche pagare croissant e pasticcini a tutto il team. Per quanto singolare, questa è una pratica nata oltre 20 anni fa da un’idea di Milka, noto produttore di cioccolata, ed è molto nota in Francia sotto il nome di ChocoBLAST.

Bisogna altresì riconoscere che ogni impresa tratta la sicurezza informatica a proprio modo e molte di esse hanno ancora un rapporto distante con la materia. È proprio in questi casi che è oltremodo necessario sensibilizzare gli impiegati. Secondo Nieclany “al fine di adattare al meglio le misure di sicurezza, è essenziale capire in anticipo in che modo i collaboratori si avvalgono degli strumenti disponibili e come trattano i dati critici”.

Uno dei problemi da non sottovalutare è la shadow IT, ovvero la propensione degli impiegati a utilizzare nuove applicazioni per uso professionale senza prima interpellare il dipartimento IT. Un altro requisito chiave è quello di assicurarsi che tutte le procedure di sicurezza siano armoniosamente integrate nei processi lavorativi di ogni reparto.

Non da ultimo bisogna considerare il lavoro flessibile. “Nell’era dello smart working, degli oggetti connessi e dei sistemi ERP esternalizzati, il perimetro di sicurezza interno non ha più senso di essere. Le aziende possono rinforzare le proprie misure di sicurezza ricorrendo, ad esempio, ad una migliore segmentazione del flusso di dati. Quest’ultima, concepita secondo il principio « zero trust network», permette di confinare una minaccia evitando che si diffonda”, conclude Nielacny.