Le politiche di sicurezza dei dati e delle informazioni, sono spesso vissute dal personale aziendale come limitazioni, costrizioni e talvolta vengono recepite come repressioni. La “cultura della sicurezza” può apportare enormi benefici ad un’ azienda.
Ma come fare, per stimolare l’ interesse e il coinvolgimento dei propri collaboratori affinché lavorino per l’azienda e non contro di essa? Riprendiamo sinteticamente alcuni consigli di Sophos Italia (www.sophos.com) che potranno essere molto utili:
Le statistiche di questi ultimi anni relative a quanto una violazione dei propri dati costi ad un’azienda sono assolutamente preoccupanti: riportare alcuni esempi concreti può aiutare a sensibilizzare il team esecutivo della propria azienda. Ogni ruolo specifico aziendale è soggetto a rischi ben diversi: è bene quindi focalizzare l’attenzione sul rischio legato alle attività quotidiane.
È necessario mantenere alta l’attenzione delle posizioni chiave in azienda su questo tema. Raccogli e condividi costantemente le notizie relative a società vittime di violazioni: facilmente troverai un “caso” nel quale si può identificare la tua azienda. I podcast sono utilissimi strumenti per essere aggiornati. Ti consigliamo la Chet Chat di Sophos, naturalmente!
Il marketing non è una disciplina in cui gli esperti di sicurezza tendono ad eccellere, ma essere in grado di far capire quanto sia importante la sicurezza aziendale è fondamentale. Un buon programma di sensibilizzazione alla sicurezza informatica può sicuramente aiutare a cambiare la sensibilità delle persone/colleghi in quest’ambito.
Partendo dal presupposto che non si può pretendere che un dipendente si accorga di un attacco di phishing (ad esempio) se non gli abbiamo mai insegnato a farlo, è sempre molto facile dimenticare che non tutti sono esperti o interessati alla cybersicurezza. Se si fa della formazione sul phishing(un rischio sicuramente da affrontare), bisogna effettuare una valutazione per capire la suscettibilità dei collaboratori. Introdurre ad esempio un sistema di “sanzione” in caso di “bocciatura” del collaboratore in ambito prevenzione “phishing” porterà a miglioramenti ancora più rapidi. E perché non adottare un sistema di segnalazione dei collaboratori non conformi?
I nuovi assunti sono senza dubbio maggiormente predisposti ad acquisire formazione e a sottostare dettagliatamente alle policy aziendali. Quando fornisci ad un nuovo assunto la propria dotazione informatica, perché ad esempio non fornire un piccolo promemoria sulla sicurezza o inserire un collegamento rapido al materiale di formazione sul desktop o un promemoria interattivo al primo login nel sistema? … e dopo 30 giorni ricorda di organizzare un piccolo test.
Introdotta per la prima volta nel 1982 dai sociologi James Q. Wilson e George L. Kelling, questa teoria suggerisce che l’attenzione ai crimini più piccoli e insignificanti aiuta a creare un’atmosfera di ordine e legalità che, come tale, contribuisce a prevenire crimini più gravi e potenzialmente dannosi.
Applicato alla sicurezza, questo principio impone di non trascurare le seppur minime violazioni delle politiche aziendali. Una postazione lasciata vacante? Un collega che rivela una password a qualcuno, non ignorare il problema., non fare finta di niente.
L’IT è sicuramente la risorsa principale che può ricordare costantemente agli utenti quanto sia importante rispettare le politiche di sicurezza .
Fonte Sophos Italia – By Traduzione da Naked Security
