Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

i consigli

Sicurezza informatica, serve un “firewall umano: come costruirlo

Il fattore umano è l’anello debole della catena della sicurezza, ma con una serie di passaggi è possibile trasformare il personale in una importante risorsa. Ecco come costruire un efficiente “firewall umano”

29 Ott 2018

Michele Iaselli

avvocato, docente di Logica e Informatica giuridica - Università di Napoli Federico II

Green and blue armed mans with globe on black background, 3D illustration.

Sul fronte della sicurezza informatica si tende sempre a realizzare sofisticati controlli tecnici anche con l’aiuto dell’IA, ma gli stessi possono rivelarsi inutili se non vengono gestite al meglio le risorse umane. Diventa, quindi, necessario ridurre la naturale vulnerabilità della propria forza lavoro trasformando il personale in una forte risorsa di sicurezza. Un “firewall umano”, come lo definisce, pittorescamente, l’osservatorio Forrester.

Una trasformazione comportamentale e culturale

Questo richiede non solo formazione e consapevolezza, ma una vera e propria trasformazione dal punto di vista comportamentale e culturale.

Lo scorso anno negli Stati Uniti, nonostante i notevoli investimenti di molte realtà organizzative nel settore sicurezza ICT, il 54% dei responsabili ha riferito che le violazioni erano causate da incidenti interni. L’alta percentuale sorprende in quanto negli ultimi tempi è aumentata molto anche la coscienza del personale sulle problematiche di sicurezza.

Le ragioni di un parziale insuccesso

  • troppe iniziative di sensibilizzazione sulla sicurezza si risolvono in una rapida presentazione del problema ed in un promemoria annuale. Questo livello di sforzo non è sufficiente per avere un impatto duraturo sul personale e fornisce all’organizzazione un falso e pericoloso senso di sicurezza.
  • I professionisti della sicurezza non devono formare esperti. La maggior parte dei professionisti per quanto competenti nel settore sicurezza non sono specialisti in
    educazione, formazione, comunicazione o cambiamento comportamentale.
  • I progetti per costruire la cultura della sicurezza sembrano facili da gestire, ma coinvolgere la forza lavoro e farla diventare una componente efficace del regime di sicurezza aziendale richiede attenzione e finanziamenti. Sfortunatamente, poiché la formazione non ha sempre un impatto immediato e visibile nelle operazioni, è spesso uno dei primi obiettivi dei tagli di bilancio.
  • I dipendenti hanno diversi livelli di esposizione al rischio e diversi stili di comunicazione. Adottare lo stesso approccio per tutto il personale, indipendentemente dai loro ruoli o responsabilità, non funziona.

Attenzione, Interesse, Desiderio e Azione

Diventa, quindi, necessario andare oltre la semplice consapevolezza del personale su tali tematiche. I professionisti del marketing utilizzano l’acronimo AIDA per descrivere le fasi che i consumatori attraversano quando vengono coinvolti in una pubblicità: Attenzione, Interesse, Desiderio e Azione. È possibile applicare gli stessi concetti alla politica di sicurezza relativa al proprio personale (va cambiata semplicemente la A dell’attenzione con la C di consapevolezza) per ottenere un efficiente firewall umano.

In questo modo è possibile far capire ai propri dipendenti come agire in modo appropriato quando incontrano eventi o problemi legati alla sicurezza nelle loro attività quotidiane.

Diventa, quindi, fondamentale sviluppare un’attività di formazione servendosi di professionisti dotati di buone capacità comunicative che abbiano familiarità con i concetti di apprendimento e conoscenza di una varietà di strumenti
e tecniche.

Cosa non si deve dimenticare

  • La consapevolezza fornisce le basi. Esempi comuni di argomenti di sensibilizzazione includono le password, buone pratiche, processi di autenticazione, phishing/spear phishing, come rispondere al ransomware e privacy. In un approccio globale al cambiamento comportamentale, la consapevolezza è quindi la base piuttosto che l’obiettivo finale.
  • La formazione fornisce competenze di sicurezza specifiche. La formazione in materia di sicurezza insegna alle persone come intraprendere un compito specifico. I corsi possono includere la codifica sicura per gli sviluppatori di software, la valutazione del rischio informatico e la formazione per i dipendenti del call center su come gestire i dati sensibili.
  • L’istruzione è di natura strategica. Mentre la formazione riguarda abilità e pratica, l’educazione riguarda la promozione di una specifica mentalità.

I passaggi per avere un buon “firewall umano”

Pertanto alla luce di tali considerazioni il rapporto Forrester sostiene che per disporre di quello che possiamo definire un efficiente firewall umano bisogna seguire cinque passaggi fondamentali:

Individuare con precisione i risultati 

Tutti i programmi di sicurezza iniziano con obiettivi ben definiti ed al fine di chiarire gli obiettivi è necessario:

  • identificare eventuali requisiti esterni. Ad esempio, l’ISO/IEC 27001 richiede che tutto il personale (e, dove pertinenti, appaltatori e utenti terzi) ricevano un’adeguata formazione di sensibilizzazione e aggiornamenti periodici come rilevante per la loro funzione lavorativa. Requisiti simili esistono anche per altre certificazioni.
  • Accertare le lacune e le vulnerabilità di controllo. Bisogna utilizzare i risultati degli audit e controllare l’analisi delle lacune per identificare carenze di fattori umani nel proprio ambiente di sicurezza.
  • Identificare e quantificare i rischi. Bisogna dare priorità ai rischi per la sicurezza umana che minacciano le iniziative strategiche aziendali.
  • Classificare e indirizzare opportunamente i ruoli interni che hanno esigenze di sicurezza diverse. Bisogna creare dei logici raggruppamenti di ruoli ciascuno dei quali richiede diversi livelli e tipi di educazione alla sicurezza, formazione e
    consapevolezza.
  • Stabilire criteri di successo. Molti perdono tempo prezioso ricercando risultati perfetti per cui è fondamentale individuare con precisione fattori di progresso ed efficacia.

Ottenere programmi approvati

Un programma di cambiamento della cultura della sicurezza deve essere trattato come qualsiasi altra iniziativa di alto profilo. Bisogna, quindi, ottenere l’approvazione dello stesso in ambito aziendale nonostante la concorrenza di altre iniziative commerciali proposte.

È opportuno quindi:

  • Sviluppare un caso aziendale di riferimento, coinvolgendo ed informando i propri colleghi.
  • Concentrarsi sul firewall umano, includendo una descrizione chiara dei rischi che si ha intenzione di ridurre: come l’ingenuità dei dipendenti che cascano nelle truffe telematiche, la perdita della fiducia dei clienti a causa del comportamento dell’impiegato del call center, ecc.

Mobilitare un team di esperti

Un efficace programma di cambiamento della cultura della sicurezza richiede una varietà di competenze e deve quindi prevedere il coinvolgimento di esperti in gestione del programma, sicurezza, comunicazioni e formazione.

Nel complesso, quindi, bisogna:

  • Scegliere un esperto di comunicazione. Spesso i professionisti della sicurezza non sono le persone migliori per guidare un programma dove la componente comunicativa è fondamentale.
  • Cercare esperti interni nascosti. Quando si costruisce una squadra, non bisogna dimenticare di avere al proprio interno esperti in comunicazione, marketing, risorse umane, diritto, informatica, che potrebbero essere preziosi in questa attività di cambiamento culturale.
  • Scegliere attentamente l’aiuto esterno. Quando non si hanno risorse interne adeguate disponibili, potrebbe essere necessario reclutare professionisti esterni, ma bisogna farlo con cura. Molte aziende offrono assistenza nel settore della formazione, ma vanno selezionate solo quelle che possono supportare il proprio programma.
  • Non complicare le cose. La sicurezza può essere molto tecnica per cui va sempre mantenuto un approccio il più possibile semplice e comunicativo.
  • Usare un tocco personale. E’ opportuno che i messaggi nonché le varie comunicazioni siano vicine alla propria personalità proprio per fare maggiore breccia verso i destinatari.
  • Rendere il contenuto leggibile. Se non lo si può rendere personale, bisogna assicurarsi che il messaggio sia attinente ai lavori che i dipendenti fanno quotidianamente, sia che si tratti di vendite, marketing, finanza, o servizio clienti.

Monitorare il programma

Anche con riferimento ad un delicato processo di cambiamento della mentalità bisogna gestire il programma utilizzando quei normali accorgimenti quali la segnalazione di progressi in ambito aziendale e nei confronti degli sponsor, coinvolgendo anche l’intera organizzazione.

Tutto ciò si può ottenere in modo efficace:

  • Festeggiando guadagni moderati, non i cambiamenti radicali. Un cambiamento comportamentale comporta una trasformazione culturale che non si ottiene nell’immediato, ma bisogna passare inevitabilmente attraverso diversi step.
  • Condividendo con tutti i propri successi. Si può, ad esempio, impostare un portale o una bacheca di messaggi (collegata ad un’intranet aziendale) dove le persone possono vedere cosa sta succedendo; oppure inviare una newsletter periodica.

Implementare un ciclo di feedback

In un processo di cambiamento così importante è fondamentale raccogliere feedback continui che consentano di migliorare la propria azione.

Si suggerisce, quindi, di:

  • Rinforzare le aree deboli. Il feedback può dimostrare che una determinata istruzione o attività formativa non ha avuto pieno successo, per individui o un intero gruppo, e che è necessaria un’attività di supporto.
  • Assicurarsi che i propri contenuti siano aggiornati e accurati. La sicurezza è un’area soggetta a forti cambiamenti e molte situazioni possono richiedere un aggiornamento dei contenuti, si pensi a cambiamenti normativi, a nuove vulnerabilità della sicurezza o alla scoperta di nuove tecniche e strumenti.
  • Mantenere il controllo della propria attività. Pratiche aziendali nuove o modificate, fusioni e acquisizioni, risultati di audit, nuove offerte dei clienti e nuovi mercati
    possono cambiare il panorama delle minacce alla sicurezza e quindi la propria
    posizione di sicurezza organizzativa.

In tale momento storico, segnato dall’avvento del regolamento UE n. 2016/679 sulla protezione dei dati personali (GDPR), questi suggerimenti diventano particolarmente preziosi in tutto l’ambito comunitario dove molte aziende hanno la necessità di adeguare la propria organizzazione ai precetti del regolamento e dove nell’ottica del rispetto del principio di accountability diventa fondamentale promuovere la cultura della protezione dei dati all’interno dell’azienda stessa.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4