Foto di visually_conscious rilasciata sotto licenza cc

Il rischio informatico non ha età: tutti a scuola di cybersecurity

di Benito Mirra, Huawei Technologies Co. – Cantiere Sicurezza digitale

Ognuno di noi ha una visione diversa della sicurezza sia per la tecnologia che utilizza, che per il percorso di carriera che ha scelto o per come la tecnologia impatta sulla sua vita quotidiana. Indipendentemente da quanto spesso si  interagisca con la tecnologia, le persone devono capire il loro ruolo nel garantire le proprie informazioni e, come dipendenti, mantenere sicure le informazioni aziendali.

Tutte le  organizzazioni (pubbliche e private)  devono avere un piano di sicurezza che coinvolga tutti i loro dipendenti

I dipendenti devono adottare una cultura più attenta alla sicurezza e alla consapevolezza. I programmi di istruzione devono insegnare alla forza lavoro a fare domande quali: “Come sono sicure le mie informazioni personali? Sono vulnerabile ad un attacco? Sono un legame debole quando si tratta delle informazioni commerciali della mia azienda?” Ogni persona risponde a queste domande in modo diverso.

La forza lavoro moderna è composta da tre diverse generazioni e ognuna ha opinioni diverse sulla condivisione di informazioni, la collaborazione, la tecnologia e il ruolo della sicurezza.

Uno studio recente del Ponemon Institute, che ha coinvolto  più di 4.000 persone (IT, security e professionisti),  ha riscontrato  che due terzi delle aziende sanno che non possono controllare tutte le applicazioni e dispositivi, ovunque e in maniera continuativa,  e che la maggior parte sono scettiche circa la loro capacità di soddisfare i severi requisiti di sicurezza e conformità del GDPR proposto (preposto?).

Lo studio mostra che ogni generazione è anche sensibile a diversi tipi di vulnerabilità di sicurezza:

  • Il 55% degli intervistati in materia di sicurezza e di business ha dichiarato che i cosidetti Millennials, nati nel periodo 1981-1997, rappresentano il rischio più alto, eludono le politiche di sicurezza IT e fanno uso di applicazioni non approvate sul posto di lavoro.
    • Il 33% degli intervistati i baby boomer, nati nel periodo 1946-1964, sono più suscettibili alle truffe di phishing e social engineering.
    • Il 30% invece dei Gen Xers, nati nel 1965-1980, avrebbe probabilmente mostrato mancanza di attenzione nel seguire le politiche di sicurezza dell’organizzazione.

È importante quindi che le organizzazioni riconoscano che le vulnerabilità di sicurezza raggiungono le generazioni senza discriminare. Pertanto, sebbene alcuni di noi possano essere più vulnerabili di altri a determinati attacchi, è importante per le aziende anche avere una strategia di sicurezza che copra al completo la loro base di dipendenti.

A fronte di tutto ciò, come possiamo effettivamente raggiungere questa cultura di consapevolezza?

Creare una cultura Security-Aware

Anche se i cyber-attacchi degli ultimi due anni hanno attirato una notevole attenzione sulla sicurezza informatica, abbiamo ancora molto da fare per educare i dipendenti ma soprattutto è necessario far sì che l’industria acquisisca più velocemente la consapevolezza e know-how relativi alle best-practice di sicurezza informatica.

La esponenziale richiesta  di dispositivi, per avere accesso in qualsiasi momento, ovunque e con chiunque,   diventa preoccupante,  soprattutto in questi giorni,  proprio per i timori legati alla  sicurezza dei dati che si trasferiscono.

Nessuno può permettersi di supporre che un dispositivo o una rete siano intrinsecamente sicuri

Un collegamento wi-fi gratuito in un posto pubblico diventa un punto sensibile dal quale trasferire informazioni ed il suo utilizzo con apparati contenenti dati da tenere al sicuro è una delle cose peggiori da fare: “la fame di dati e connettività” che molte persone hanno, rendono molti disposti a mettere a rischio la propria vita digitale e le imprese stesse. Ma siamo sicuri che ne abbiano consapevolezza ?

La chiave per la comprensione e l’adozione di questa mentalità di sicurezza è il fine-tuning della formazione e della sensibilizzazione, in modo che si adatti a tutte le fasce d’età nella diversa forza lavoro.
La consapevolezza deve essere assolutamente rilevante per qualsiasi ruolo e rendere i concetti chiari e personali. Una comunicazione efficace agisce su diversi livelli e modalità, tra i rischi correnti e un allineamento chiaro con il lavoro delle persone e la propria vita privata.

Non esiste una linea temporale ufficiale o un piano di lavoro per la formazione di sicurezza: il processo è continuo, come gli esami nella vita…

Il monitoraggio del successo dei programmi di formazione e di sensibilizzazione è più facile di quanto si pensi, basta porsi alla fine alcune domande:

  • I tentativi di phishing sono meno efficaci?
  • Sono diminuite le richieste Help-Desk per la sicurezza?
  • La tua azienda ha ridotto i prodotti di sicurezza ridondanti (riducendo così la complessità)?
  • La tua forza lavoro sta facendo più domande o segnalando ulteriori potenziali violazioni?

Occorre forse ritornare alle origini, “al controllo manuale”?

 

Foto di visually_conscious rilasciata sotto licenza cc – https://www.flickr.com/photos/133517056@N05/30519953343