Articles

L’importanza della cultura della sicurezza

L’importanza della cultura della sicurezza

14 Oct 2022

Negli ultimi decenni lo sviluppo tecnologico ed informatico ha condizionato e modificato radicalmente la vita di tutto il mondo. Grazie all'innovazione del ventunesimo secolo, infatti, c'è stata una vera e propria scoperta del mondo digitale che adesso è diventato centrale all'interno della nostra esistenza. Sono nati nuovi lavori online, si è sviluppato lo smark working, e così via dicendo.
Il progresso informatico ha creato nuove opportunità dando tantissimi benefici e vantaggi; nonostante ciò, però, ogni cosa ha anche dei lati negativi che vanno analizzati attentamente per riuscire a sfruttare questo nuovo mondo in modo proficuo senza incappare in spiacevoli situazioni di pericolo e disagio.

Cultura della sicurezza: cos'è e perchè è importante

Ciò che influisce sulla sicurezza digitale è innanzitutto il pensiero unito a tutte le abitudini e il comportamento sociale di ogni individuo all'interno di questo mondo. Spesso si pensa che si è sicuri, quando in realtà non lo si è. Dunque, è un bene capire in che modo bisogna sempre tutelarsi cercando di comprendere che questo aspetto è fondamentale all'interno di qualsiasi mondo, in particolar modo quando ci troviamo sul web. La cultura della sicurezza di un'organizzazione è fondamentale per la sua capacità di proteggere le informazioni, i dati e la privacy dei dipendenti e dei clienti.
Alcune aziende stanno iniziando a capirlo cercando di lavorare sempre di più in merito a questo aspetto attraverso lo stanziamento di fondi dedicati per sviluppare la migliore sicurezza possibile e proteggere i propri utenti. Stanno andando oltre gli approcci tattici e contingenti alla sicurezza e riconoscono che una sicurezza efficace a livello aziendale richiede un approccio strategico a lungo termine che si concentri sulla comunicazione e sulla cultura.
Questo è l'unico modo per riuscire ad evitare infausti risultati in caso di attacchi informatici e per riuscire a proteggere tutti i dati sensibili all'interno, per esempio, di un qualsiasi sito web (informazioni personali, dati, conti, carte, ecc...).
Ognuno di noi diventa, quindi, una parte importante della sicurezza aziendale come elemento di prevenzione e protezione. Gli obiettivi da raggiungere devono essere chiari e fare tutto il possibile per raggiungerli.

In primo luogo, è necessario dare il buon esempio.

Risulta quindi fondamentale che la cultura della sicurezza parta dal Top Management che oltre a sponsorizzarla deve essere anche un modello di comportamento per tutti i dipendenti.

Perchè il mondo digitale può essere pericoloso?

La criminalità informatica è molto pericolosa ed è infatti fondamentale cercare di prevenire gli attacchi informatici; nonostante ciò, però, bisogna capire quali possano essere le insidie del mondo digitale per cercare di evitarle.
La criminalità informatica comprende l'uso improprio di informazioni private e personali, nonché di informazioni sensibili, rubate via Internet dalle reti aziendali o dalle carte di credito personali. Il phishing e il furto di identità attraverso i social network sono veri e propri crimini informatici in costante aumento, secondo i rapporti della polizia di stato. I ransomware, veri e propri ricatti informatici dove i criminali richiedono riscatti in denaro per non pubblicare o distruggere le informazioni di cui sono venuti in possesso e che hanno reso indisponibili - tramite cifratura - al reale proprietario, sono solo l’ultima tendenza.

Cyber security: come funziona e come adottarla in maniera efficace

La sicurezza informatica si concentra sulle qualità di resilienza, robustezza e reattività che la tecnologia deve possedere per rispondere agli attacchi informatici che possono colpire individui, aziende private, istituzioni pubbliche e organizzazioni governative.
La sicurezza informatica deve essere una priorità assoluta per qualsiasi tipo di attività, perché i rischi informatici sono ovunque: basta aprire una semplice e-mail, scaricare un file apparentemente innocuo per cadere nella trappola di un attaccante ed essere vittima di un crimine informatico.
L'elenco delle potenziali minacce è ampio, ma gli attacchi informatici più comuni si basano principalmente sull'uso dei seguenti strumenti/tecniche:

  • Malware: sono codici o programmi dannosi in grado di compromettere e mettere a rischio un sistema informatico. Questi codici vengono utilizzati per danneggiare in modo preciso computer, reti o sistemi. Attraverso l'utilizzo dei malware gli attaccanti cercano di acquisire il controllo dei sistemi per poi reperire tutte le informazioni utili e pertinenti;
  • SQL injection: è una tecnica che permette di inserire ed eseguire codice imprevisto in un'applicazione web che interroga un database sfruttando alcuni bug nella programmazione;
  • Phishing: si tratta di un attacco informatico con cui si cerca di acquisire i dati personali degli utenti attraverso tecniche di ingegneria sociale: delle tecniche di inganno, truffa e trappole che non hanno a che vedere con vulnerabilità tecnologiche, ma piuttosto con l’interazione tra le persone;
  • Man in the middle: è un tipo di attacco informatico che consente agli aggressori informatici di intercettare e manipolare il traffico Internet;
  • Denial of Service: con questa metodologia si cerca di tempestare un sito web di richieste false in modo da sovraccaricare il sistema e rendere il sito web inagibile e inutilizzabile ai reali utilizzatori.


Cultura della sicurezza: ecco come costruirla in modo efficace

Le organizzazioni possono intraprendere alcuni passi molto pratici e attuabili per sviluppare e promuovere una forte cultura della sicurezza. Per riuscire a costruire la cultura della sicurezza bisogna tener conto di alcuni fattori fondamentali che sono a dir poco indispensabili per migliorare la sicurezza digitale:

  • Atteggiamento: i sentimenti e le convinzioni dei dipendenti sui protocolli e sui problemi di sicurezza. I dipendenti devono avere un atteggiamento positivo verso l’attuazione di pratiche sicure e non dannose;
  • Comportamento: comportamento dei dipendenti che ha un impatto diretto o indiretto sulla sicurezza. In aggiunta al giusto atteggiamento, ogni dipendente deve sapere cosa fare e cosa non fare per proteggere i dati aziendali;
  • Consapevolezza: comprensione, conoscenza e consapevolezza da parte dei dipendenti dei problemi e delle minacce di sicurezza;
  • Conformità e standard: definizione di chiare, comprensibili e disponibili a tutti, politiche di sicurezza. Le regole base a cui tutti devono attenersi;
  • Comunicazione: i canali di comunicazione promuovono un senso di appartenenza e forniscono supporto per problemi di sicurezza e segnalazione degli incidenti. Essi sono inoltre fondamentali affinchè vi sia adeguata consapevolezza;
  • Responsabilità: i dipendenti devono comprendere il proprio ruolo come un fattore chiave nell'aiutare o compromettere la sicurezza.
  • Sponsorship: l’esempio e il commitment deve provenire dal Top Management.

Come creare un programma di Cultura della Sicurezza

Ma come creare un programma di Cultura delle Sicurezza all’interno della propria azienda? Di seguito riporteremo una breve guida sui passaggi fondamentali per raggiungere tale scopo.
Come prima cosa è necessario creare un gruppo di lavoro per promuovere la Cultura della Sicurezza; questo team di lavoro avrà il compito di formare sia la conoscenza sia il programma della Cultura della Sicurezza oltre che supervisionarne l’attuazione all’interno dell’azienda.
Successivamente serve una chiara comprensione del business e una valutazione del rischio, vale a dire la chiara comprensione delle attività e procedure realmente importanti per l’azienda. Fondamentale sarà la mappatura e la valutazione delle misure di sicurezza presenti, in modo da identificare eventuali criticità e implementarne di nuove.
A questo punto bisogna definire gli obiettivi principali e i criteri di successo per valutare quando questi obiettivi vengono raggiunti.

Una volta definiti gli obiettivi è necessario fare una “fotografia” della situazione attuale presente in  azienda e calcolare il divario presente tra questa e gli obiettivi fissati (la cosiddetta “gap analysis”).

Sulla base di questa analisi si selezioneranno le attività da eseguire per colmare un eventuale divario tra la situazione attuale e gli obiettivi fissati.

I principali mezzi per raggiungere la consapevolezza all’interno dell’azienda

Una volta definita la strategia per aumentare la consapevolezza all’interno dell’azienda, è necessario scegliere le giuste modalità per raggiungere gli obiettivi prefissati. Non esiste una ricetta che possa soddisfare le esigenze e peculiarità di ogni singola azienda, ma di seguito elenchiamo le principali attività che possono essere valutate nella scelta delle azioni più appropriate da implementare.

  • Corsi di formazione: i corsi di formazione sono sicuramente la principale modalità di diffondere la cultura della sicurezza. Essi possono aiutare a spiegare l’importanza della sicurezza, le procedure aziendali in essere, come riconoscere le minacce e i comportamenti da adottare in caso di minacce. La chiave fondamentale di un corso di sicurezza è quello di coinvolgere il dipendente. L’uso di video, slide, giochi e interazioni con il personale sono la migliore modalità per rendere accattivante un corso di sicurezza. In caso di grandi numeri, la migliore modalità di erogazione è un corso online, magari registrato. Viceversa, la maggiore efficacia si ottiene con corsi in aula (fisica o virtuale), dove l’interazione con l’insegnante sicuramente mantiene più alta l’attenzione e aumenta le possibilità di confronto.
  • Video, pillole, articoli: un'altra modalità di diffusione della sicurezza è quella di predisporre video e articoli sulla sicurezza da veicolare tramite le modalità di comunicazione già presenti in azienda (es. newsletter per i dipendenti, bacheca aziendale, sito intranet, etc.)
  • Testimonianze del top management: uno dei migliori modi di aumentare la consapevolezza all’interno dell’azienda è certamente il buon esempio. Se l’alta direzione in prima persona si espone per sottolineare l’importanza della sicurezza in azienda, i dipendenti non potranno che cogliere la sua rilevanza. Veicolare questi messaggi durante le riunioni aziendali, i workshop, gli eventi più o meno formali è un metodo efficace e di grande valore.
  • Giochi e test: a volte si impara sbagliando. Le simulazioni di attacchi (es. false email di phishing) sono una delle modalità più efficaci per fare comprendere al dipendente come evitare le situazioni di pericolo. Non solo queste modalità aiutano a saper riconoscere i veri attacchi informatici quando essi accadono, ma anche a comprendere il livello attuale di consapevolezza in azienda e l’efficacia delle azioni intraprese.

Questi sono solo alcuni suggerimenti che possono essere messi facilmente in pratica in azienda. E’ però fondamentale rimarcare una caratteristica comune che ogni programma di formazione e consapevolezza deve avere: la costanza. Le azioni devono essere periodiche e frequenti nel tempo, per garantire che l’attenzione alle tematiche di sicurezza siano sempre elevate.

Francesco Nonni @ F3RM1 Foundation



-Torna agli Articoli