i consigli

Sicurezza informatica, serve un “firewall umano: come costruirlo

Il fattore umano è l’anello debole della catena della sicurezza, ma con una serie di passaggi è possibile trasformare il personale in una importante risorsa. Ecco come costruire un efficiente “firewall umano”

29 Ott 2018
Michele Iaselli

avvocato, docente di Logica e Informatica giuridica - Università di Cassino

Green and blue armed mans with globe on black background, 3D illustration.

Sul fronte della sicurezza informatica si tende sempre a realizzare sofisticati controlli tecnici anche con l’aiuto dell’IA, ma gli stessi possono rivelarsi inutili se non vengono gestite al meglio le risorse umane. Diventa, quindi, necessario ridurre la naturale vulnerabilità della propria forza lavoro trasformando il personale in una forte risorsa di sicurezza. Un “firewall umano”, come lo definisce, pittorescamente, l’osservatorio Forrester.

Una trasformazione comportamentale e culturale

Questo richiede non solo formazione e consapevolezza, ma una vera e propria trasformazione dal punto di vista comportamentale e culturale.

Lo scorso anno negli Stati Uniti, nonostante i notevoli investimenti di molte realtà organizzative nel settore sicurezza ICT, il 54% dei responsabili ha riferito che le violazioni erano causate da incidenti interni. L’alta percentuale sorprende in quanto negli ultimi tempi è aumentata molto anche la coscienza del personale sulle problematiche di sicurezza.

Digital event
Torna il Cybersecurity 360 Summit strategia nazionale di cybersicurezza. Online, 27 ottobre
Sicurezza
Sicurezza dei dati

Le ragioni di un parziale insuccesso

  • troppe iniziative di sensibilizzazione sulla sicurezza si risolvono in una rapida presentazione del problema ed in un promemoria annuale. Questo livello di sforzo non è sufficiente per avere un impatto duraturo sul personale e fornisce all’organizzazione un falso e pericoloso senso di sicurezza.
  • I professionisti della sicurezza non devono formare esperti. La maggior parte dei professionisti per quanto competenti nel settore sicurezza non sono specialisti in
    educazione, formazione, comunicazione o cambiamento comportamentale.
  • I progetti per costruire la cultura della sicurezza sembrano facili da gestire, ma coinvolgere la forza lavoro e farla diventare una componente efficace del regime di sicurezza aziendale richiede attenzione e finanziamenti. Sfortunatamente, poiché la formazione non ha sempre un impatto immediato e visibile nelle operazioni, è spesso uno dei primi obiettivi dei tagli di bilancio.
  • I dipendenti hanno diversi livelli di esposizione al rischio e diversi stili di comunicazione. Adottare lo stesso approccio per tutto il personale, indipendentemente dai loro ruoli o responsabilità, non funziona.

Attenzione, Interesse, Desiderio e Azione

Diventa, quindi, necessario andare oltre la semplice consapevolezza del personale su tali tematiche. I professionisti del marketing utilizzano l’acronimo AIDA per descrivere le fasi che i consumatori attraversano quando vengono coinvolti in una pubblicità: Attenzione, Interesse, Desiderio e Azione. È possibile applicare gli stessi concetti alla politica di sicurezza relativa al proprio personale (va cambiata semplicemente la A dell’attenzione con la C di consapevolezza) per ottenere un efficiente firewall umano.

In questo modo è possibile far capire ai propri dipendenti come agire in modo appropriato quando incontrano eventi o problemi legati alla sicurezza nelle loro attività quotidiane.

Diventa, quindi, fondamentale sviluppare un’attività di formazione servendosi di professionisti dotati di buone capacità comunicative che abbiano familiarità con i concetti di apprendimento e conoscenza di una varietà di strumenti
e tecniche.

Cosa non si deve dimenticare

  • La consapevolezza fornisce le basi. Esempi comuni di argomenti di sensibilizzazione includono le password, buone pratiche, processi di autenticazione, phishing/spear phishing, come rispondere al ransomware e privacy. In un approccio globale al cambiamento comportamentale, la consapevolezza è quindi la base piuttosto che l’obiettivo finale.
  • La formazione fornisce competenze di sicurezza specifiche. La formazione in materia di sicurezza insegna alle persone come intraprendere un compito specifico. I corsi possono includere la codifica sicura per gli sviluppatori di software, la valutazione del rischio informatico e la formazione per i dipendenti del call center su come gestire i dati sensibili.
  • L’istruzione è di natura strategica. Mentre la formazione riguarda abilità e pratica, l’educazione riguarda la promozione di una specifica mentalità.

I passaggi per avere un buon “firewall umano”

Pertanto alla luce di tali considerazioni il rapporto Forrester sostiene che per disporre di quello che possiamo definire un efficiente firewall umano bisogna seguire cinque passaggi fondamentali:

Individuare con precisione i risultati 

Tutti i programmi di sicurezza iniziano con obiettivi ben definiti ed al fine di chiarire gli obiettivi è necessario:

  • identificare eventuali requisiti esterni. Ad esempio, l’ISO/IEC 27001 richiede che tutto il personale (e, dove pertinenti, appaltatori e utenti terzi) ricevano un’adeguata formazione di sensibilizzazione e aggiornamenti periodici come rilevante per la loro funzione lavorativa. Requisiti simili esistono anche per altre certificazioni.
  • Accertare le lacune e le vulnerabilità di controllo. Bisogna utilizzare i risultati degli audit e controllare l’analisi delle lacune per identificare carenze di fattori umani nel proprio ambiente di sicurezza.
  • Identificare e quantificare i rischi. Bisogna dare priorità ai rischi per la sicurezza umana che minacciano le iniziative strategiche aziendali.
  • Classificare e indirizzare opportunamente i ruoli interni che hanno esigenze di sicurezza diverse. Bisogna creare dei logici raggruppamenti di ruoli ciascuno dei quali richiede diversi livelli e tipi di educazione alla sicurezza, formazione e
    consapevolezza.
  • Stabilire criteri di successo. Molti perdono tempo prezioso ricercando risultati perfetti per cui è fondamentale individuare con precisione fattori di progresso ed efficacia.

Ottenere programmi approvati

Un programma di cambiamento della cultura della sicurezza deve essere trattato come qualsiasi altra iniziativa di alto profilo. Bisogna, quindi, ottenere l’approvazione dello stesso in ambito aziendale nonostante la concorrenza di altre iniziative commerciali proposte.

È opportuno quindi:

  • Sviluppare un caso aziendale di riferimento, coinvolgendo ed informando i propri colleghi.
  • Concentrarsi sul firewall umano, includendo una descrizione chiara dei rischi che si ha intenzione di ridurre: come l’ingenuità dei dipendenti che cascano nelle truffe telematiche, la perdita della fiducia dei clienti a causa del comportamento dell’impiegato del call center, ecc.

Mobilitare un team di esperti

Un efficace programma di cambiamento della cultura della sicurezza richiede una varietà di competenze e deve quindi prevedere il coinvolgimento di esperti in gestione del programma, sicurezza, comunicazioni e formazione.

Nel complesso, quindi, bisogna:

  • Scegliere un esperto di comunicazione. Spesso i professionisti della sicurezza non sono le persone migliori per guidare un programma dove la componente comunicativa è fondamentale.
  • Cercare esperti interni nascosti. Quando si costruisce una squadra, non bisogna dimenticare di avere al proprio interno esperti in comunicazione, marketing, risorse umane, diritto, informatica, che potrebbero essere preziosi in questa attività di cambiamento culturale.
  • Scegliere attentamente l’aiuto esterno. Quando non si hanno risorse interne adeguate disponibili, potrebbe essere necessario reclutare professionisti esterni, ma bisogna farlo con cura. Molte aziende offrono assistenza nel settore della formazione, ma vanno selezionate solo quelle che possono supportare il proprio programma.
  • Non complicare le cose. La sicurezza può essere molto tecnica per cui va sempre mantenuto un approccio il più possibile semplice e comunicativo.
  • Usare un tocco personale. E’ opportuno che i messaggi nonché le varie comunicazioni siano vicine alla propria personalità proprio per fare maggiore breccia verso i destinatari.
  • Rendere il contenuto leggibile. Se non lo si può rendere personale, bisogna assicurarsi che il messaggio sia attinente ai lavori che i dipendenti fanno quotidianamente, sia che si tratti di vendite, marketing, finanza, o servizio clienti.

Monitorare il programma

Anche con riferimento ad un delicato processo di cambiamento della mentalità bisogna gestire il programma utilizzando quei normali accorgimenti quali la segnalazione di progressi in ambito aziendale e nei confronti degli sponsor, coinvolgendo anche l’intera organizzazione.

Tutto ciò si può ottenere in modo efficace:

  • Festeggiando guadagni moderati, non i cambiamenti radicali. Un cambiamento comportamentale comporta una trasformazione culturale che non si ottiene nell’immediato, ma bisogna passare inevitabilmente attraverso diversi step.
  • Condividendo con tutti i propri successi. Si può, ad esempio, impostare un portale o una bacheca di messaggi (collegata ad un’intranet aziendale) dove le persone possono vedere cosa sta succedendo; oppure inviare una newsletter periodica.

Implementare un ciclo di feedback

In un processo di cambiamento così importante è fondamentale raccogliere feedback continui che consentano di migliorare la propria azione.

Si suggerisce, quindi, di:

  • Rinforzare le aree deboli. Il feedback può dimostrare che una determinata istruzione o attività formativa non ha avuto pieno successo, per individui o un intero gruppo, e che è necessaria un’attività di supporto.
  • Assicurarsi che i propri contenuti siano aggiornati e accurati. La sicurezza è un’area soggetta a forti cambiamenti e molte situazioni possono richiedere un aggiornamento dei contenuti, si pensi a cambiamenti normativi, a nuove vulnerabilità della sicurezza o alla scoperta di nuove tecniche e strumenti.
  • Mantenere il controllo della propria attività. Pratiche aziendali nuove o modificate, fusioni e acquisizioni, risultati di audit, nuove offerte dei clienti e nuovi mercati
    possono cambiare il panorama delle minacce alla sicurezza e quindi la propria
    posizione di sicurezza organizzativa.

In tale momento storico, segnato dall’avvento del regolamento UE n. 2016/679 sulla protezione dei dati personali (GDPR), questi suggerimenti diventano particolarmente preziosi in tutto l’ambito comunitario dove molte aziende hanno la necessità di adeguare la propria organizzazione ai precetti del regolamento e dove nell’ottica del rispetto del principio di accountability diventa fondamentale promuovere la cultura della protezione dei dati all’interno dell’azienda stessa.

@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articoli correlati