Home » Sicurezza » Creare una cultura di sicurezza informatica

Creare una cultura di sicurezza informatica

Tech Page One

Couple Looking at a Bike in a Shop

Ai team di sicurezza che ho presieduto negli anni dicevo spesso: “Mai sprecare una crisi”, e oggi sulle prime pagine le crisi della sicurezza si susseguono. Con violazioni di alto profilo che si verificano praticamente in ogni tipo di organizzazione (dal settore retail alla sanità ai siti di appuntamenti online), la sicurezza dei dati è una priorità per tutti gli utenti di tecnologia, anche i più disinvolti.

Il National Cyber Security Awareness Month si avvicina, e questi eventi sono strumenti utili per aumentare la consapevolezza degli utenti riguardo alle minacce e alle vulnerabilità che possono mettere a repentaglio le informazioni con cui lavorano ogni giorno. Innumerevoli studi hanno dimostrato che di solito le violazioni dei dati non sono causate da guasti ed errori dell’hardware o del software di sicurezza, ma da errori umani, ossia commessi dal “wetware” che fa funzionare la maggior parte dei sistemi informativi (dove “wet” sta per “bagnato” in quanto il cervello umano è composto per circa il 75% di acqua). In altre parole, anche se i firewall e i software antivirus/antimalware di nuova generazione diventano sempre più sofisticati ed efficienti, la loro efficacia può comunque essere neutralizzata dalle persone che li utilizzano (o che non li utilizzano).

L’aumento delle violazioni dovrebbe rappresentare un campanello d’allarme e far capire che la sicurezza informatica deve essere una responsabilità condivisa in tutta l’organizzazione. Le aziende pronte per il futuro sfatano l’antico mito secondo cui la sicurezza è qualcosa da delegare ad “altri” (armi, cancelli, guardie o geni dell’informatica). Dipendenti, partner aziendali e tutti coloro che hanno accesso a dati sensibili non possono più considerare la sicurezza come uno sgradevole costo da pagare. Oggi la sicurezza è invece un fattore indispensabile per migliorare la prosperità e la crescita aziendale. Proprio come l’IT si è diffusa negli angoli più sperduti di qualsiasi impresa, così dovrà avvenire per la protezione dei dati, promuovendo una nuova cultura di sicurezza aziendale.

Rischi intelligenti

Monitor Showing Cookie RecipeQuesto non implica che i dipendenti debbano starsene rintanati nei loro cubicoli, terrorizzati al pensiero dei pirati informatici e delle vulnerabilità che potrebbero far inavvertitamente sfruttare. Far avanzare un’azienda nel mercato globale oggi comporta l’assunzione di rischi intelligente. I dipendenti intraprendenti si sentiranno sempre sotto pressione, spinti a portare a termine al più presto i propri compiti, a sveltire il lavoro, a dimostrare agilità, e potranno essere tentati di sorvolare sulle procedure e sui protocolli di sicurezza. Creare una cultura della sicurezza aiuterà ad assicurare che questi accorgimenti siano applicati in maniera intelligente, e solo alla luce dei dati più recenti e affidabili sulle minacce. I dipendenti devono sapere fino a che punto un malintenzionato sia pronto a colpire e quali vulnerabilità o esposizioni potrebbero derivarne.

Il segreto per creare una cultura della sicurezza risiede in comunicazioni efficaci e chiare. Non basta agitare lo spettro delle possibilità o delle minacce ritenute incombenti: occorre documentarne l’efficacia e la natura. Nella mia esperienza, se si parla con franchezza e si condividono dati concreti – non solo possibilità o probabilità remote, ma dati e casi reali di violazioni –, le persone prendono sul serio il problema e si comportano subito di conseguenza. Se invece non credono che la minaccia sia reale, inizieranno a sorvolare sulla sicurezza. Dati concreti ed esposti con chiarezza sono l’argomento più convincente.

Il bastone e la carota

Aristotele diceva che è virtuoso solo colui che non agisce per paura di una punizione né per il desiderio di una ricompensa. Noi riteniamo che l’umanità stia evolvendo, ma il dipendente virtuoso in senso aristotelico non è la norma. Gli umani imparano ancora il pensiero consequenziale in tenera età e le aziende dispongono sia di bastoni sia di carote per stabilire la necessaria cultura di sicurezza informatica. La partecipazione agli utili, i bonus e le altre misure standard per le prestazioni aziendali fungono chiaramente da carota per premiare i dipendenti. Aiutano infatti a comunicare che è nell’interesse reciproco garantire che le informazioni che generano profitti – e gli utili che saranno ripartiti tra i dipendenti – siano protette a dovere. La prospettiva della partecipazione agli utili e dei bonus per le prestazioni può indurre le persone a rettificare i propri comportamenti e a lavorare ogni giorno nella maniera più intelligente possibile.

Per converso, le aziende necessitano di una serie di bastoni per sottolineare l’importanza cruciale della sicurezza informatica. Chi sceglie senza criterio di ignorare i protocolli di sicurezza critici e rifiuta di applicare processi progettati per il bene comune, deve subire delle conseguenze. E quando queste conseguenze vengono illustrate e applicate, la maggior parte degli esseri umani sarà abbastanza intelligente da prenderne nota e agire di conseguenza. Finché la natura umana non cambierà, è necessaria una combinazione di bastoni e carote.

E i dirigenti devono trovare il modo per rendere personali sia gli uni che le altre. Tutti devono assumersi le proprie responsabilità individuali e avere un interesse personale verso la sicurezza e la conformità. Così facendo, si creerà un esercito di soldati che farà da guardia contro vulnerabilità e minacce.

Il nostro mondo interconnesso

Le interdipendenze tra i mondi della sicurezza fisica e logica aumentano in modo esponenziale. I rigidi confini degli interessi delineati sono in gran parte scomparsi: non è più chiaro dove cominci la vita aziendale e finisca quella privata, e viceversa. Le linee di demarcazione sono così esili che una cultura davvero incentrata sulla sicurezza dovrà tener conto dell’apertura e della connessione del mondo in cui viviamo. La cultura della sicurezza dovrà essere, come io la definisco, “contestualmente consapevole”. Dovrà incarnare la comprensione della natura aperta del nostro mondo ed essere cosciente del modo in cui, a causa di tale apertura, potrebbero manifestarsi vettori di minacce imprevisti.

E tu cosa stai facendo per creare una cultura della sicurezza?

 

 

John McClurg

John McClurg

John McClurg guida le strategie e le operazioni tattiche dei servizi di sicurezza di Dell. Egli è responsabile per il miglioramento delle iniziative sulla sicurezza firmate Dell e per l’implementazione delle stesse. Prima di entrare a far parte di Dell, McClurg ricopriva la carica di Vice Presidente della sicurezza globale presso Honeywell.

Ultimi post:

 

Tag: Sicurezza