Security culture: ecco perché è così importante integrarla nella cultura aziendale
Una security culture in azienda capace di trasformare i dipendenti in veri e propri firewall umani contro i cyber attacchi è un elemento fondamentale quando parliamo di sicurezza informatica. Questo perché il vero punto debole è proprio il fattore umano: il 95% dei problemi di sicurezza informatica, secondo il The Global Risks Report 2022 del World Economic Forum, è infatti attribuibile a errori umani.
È vero, formazione e sensibilizzazione da sole non sono sufficienti a proteggere dalle minacce informatiche in costante evoluzione. Tuttavia rendere i dipendenti consapevoli dei rischi reali, informarli su quelli che sono i comportamenti e le norme più adeguate a fronteggiare qualsiasi pericolo in ambito informatico, restano passaggi essenziali. Inoltre, le misure tecniche di sicurezza devono essere in sintonia con gli altri processi aziendali: i dipendenti non devono scegliere tra il “fare il proprio lavoro” e “rispettare le politiche di cyber sicurezza”. È per questo che si devono progettare misure di sicurezza che garantiscano un livello adeguato di protezione e non ostacolino il lavoro del dipendente.
Un esempio chiaro di questo principio è l’utilizzo di un sistema che richiede autenticazioni troppo complesse o procedure di sicurezza scomode. In questo caso, gli utenti potrebbero cercare di aggirare tali misure oppure commettere errori, vanificando gli sforzi di protezione.
Ma cosa si intende quando si parla di security culture? Ci si riferisce a un insieme di valori e pratiche condivise che indicano il modo in cui le persone dovrebbero considerare la sicurezza informatica all’interno di un’organizzazione.
Per creare una cultura comune e condivisa, tassello fondamentale è il supporto attivo della leadership, sia dal punto di vista del budget, ma soprattutto per l’esempio in prima persona. A questo si aggiunge la necessità di formare in modo adeguato e costante il personale, facendo in modo che ciascun dipendente sia in grado di comprendere e mitigare i rischi in tema di cyber sicurezza e, allo stesso tempo, creare un ambiente in cui le persone si sentano a proprio agio nel segnalare problemi di sicurezza.
Al comportamento responsabile nell’uso della tecnologia e delle informazioni da parte dei dipendenti deve necessariamente collegarsi una serie di politiche e procedure chiare e comprensibili per tutti. La sicurezza informatica deve diventare una responsabilità collettiva.
Infine, per una security culture che abbia un valore nel tempo è necessario un aggiornamento costante, che monitori l’efficacia delle misure di sicurezza esistenti e le aggiorni per affrontare nuove minacce, oltre ad avere un approccio sistematico di valutazione e gestione dei rischi informatici.
Quando si parla di security culture, quindi, non è sufficiente considerare solo la questione legata alla consapevolezza: sono fondamentali anche comportamento e mentalità, gli altri due tasselli dell’ABC della cyber security (Awareness, Behaviour and Culture). Ogni dipendente, capo reparto o amministrativo deve essere consapevole del suo ruolo all’interno dell’azienda e agire in modo responsabile in tema di sicurezza, proprio perché questa appartiene a tutti.
È importante infatti sottolineare che spesso non è il singolo errore ad avere effetti devastanti, quanto piuttosto la concatenazione di tanti comportamenti sbagliati, che causano l’effetto domino e portano al disastro. Investire nella security culture quindi può influire positivamente sul personale, disinnescando tutti quei comportamenti sbagliati, frutto di anni di inconsapevolezza e cattive abitudini (spesso derivanti dalla noncuranza degli stessi dirigenti). Errori apparentemente minimi, come la mancata applicazione delle regole del firewall, l’esposizione accidentale di servizi RDP o l’uso di account con privilegi elevati, che rendono vulnerabile l’azienda, esponendola a cyber attacchi.
Se difendersi è molto più complesso che attaccare, quindi, è essenziale trovare un equilibrio tra investimenti in tecnologia difensiva e promozione di comportamenti sicuri tra i dipendenti, aggiungendo alle azioni estemporanee (magari legate alla tecnologia del momento) una solida cultura della sicurezza.
Se un’azienda sta investendo correttamente in questo aspetto lo si può notare da alcuni indicatori, come la capacità delle persone di segnalare incidenti e includere la sicurezza come parte integrante delle loro responsabilità, così come anche la promozione di comportamenti responsabili tra i colleghi.
In conclusione, la sicurezza informatica non è solo una questione tecnologica ma anche umana: modificare comportamenti errati richiede tempo e uno sforzo costante, ma è un passaggio essenziale se si vuole proteggere l’azienda dalle minacce cibernetiche in continua evoluzione.
