Se i collaboratori sono all’erta e riescono a sventare i cyberattacchi, un’impresa è più protetta. Ma cosa si può fare per diffondere un’efficace cultura della sicurezza? Lo spiegano due specialisti in Security Awareness.
Testo: Andreas Heer, Immagini: Swisscom
26 settembre 2023, aggiornato il 24 luglio 2024
Le persone sono influenzabili e, quando si trovano sotto pressione e sotto stress, commettono (anzi, commettiamo) errori e imprudenze. I cybercriminali ne approfittano ricorrendo al social engineering. Le campagne di phishing o le CEO fraud sono così efficaci perché, prima o poi, qualcuno finisce per cadere nei tranelli dei criminali.
Non c’è da sorprendersi che, stando al SANS 2023 Security Awareness Report, il social engineering è il più grande fattore di rischio umano per le difese informatiche di un’impresa. Ma una soluzione c’è. La cultura della sicurezza fa dei collaboratori la prima linea di difesa all’interno della catena della cybersicurezza.
Cultura della sicurezza, Security Awareness e sensibilizzazione dei collaboratori sono insomma tre espressioni che si riferiscono alla stessa cosa: cambiare in positivo il comportamento dei collaboratori in relazione a dati, informazioni e sistemi IT affinché siano in grado di identificare determinate forme di cyberattacco e reagire correttamente. Al dispositivo di sicurezza, composto da misure tecniche e organizzative, viene così ad aggiungersi un ulteriore elemento: il fattore umano.
«Creare Security Awareness è una classica attività di prevenzione», commenta Marcus Beyer, responsabile Security Awareness di Swisscom. «I collaboratori devono essere sensibilizzati all’importanza della sicurezza (con o senza il prefisso «cyber») affinché l’attenzione alla stressa diventi una pratica quotidiana.»
Questa attività si articola in un ampio ventaglio di misure di comunicazione e didattiche. L'obiettivo della formazione di sensibilizzazione alla sicurezza è di modificare il comportamento dei collaboratori: l’attenzione alla sicurezza dovrebbe restare sempre alta nel lavoro d’ogni giorno. È chiaro che questa attività non si può esaurire in interventi puntuali o isolati, spiega Marcus Beyer: «Per diffondere una cultura della sicurezza servono tempo e risorse, ma anche un pizzico di coraggio e soprattutto pazienza.»
Anche Monika Geitlinger ritiene che la Security Awareness sia un processo continuo. Nel suo ruolo di Information Security Officer di Raiffeisen Svizzera, è anche responsabile della Security Awareness: «Verifichiamo continuamente se ci sono nuovi argomenti su cui formare lo staff e nuovi approcci alla didattica per fare in modo che i collaboratori continuino a fare volentieri la loro parte e siano preparati al meglio.»
Per ragioni legali e di compliance, le imprese sono soggette a regole nella gestione dei dati. La Security Awareness aiuta a rispettare queste misure organizzative di cybersicurezza, spiega Marcus Beyer: «Se sono sensibilizzati ai rischi di sicurezza, i collaboratori tenderanno a rispettare maggiormente le direttive e le regole perché conoscono il motivo per cui sono necessarie e sono state istituite.»
La cultura della sicurezza aiuta così a minimizzare i danni, ossia prevenire i cyberattacchi e i furti di dati. «Anche il management e la direzione aziendale lo sanno bene: se una cultura della sicurezza mi permette di evitare anche un solo grande incidente, tutti gli sforzi sono già ripagati», dichiara Marcus Beyer per illustrarne i benefici. I danni non si limitano solo al lato finanziario e includono anche un elemento potenzialmente molto più grave: la perdita di reputazione e fiducia.
I vantaggi di una cultura della sicurezza non si fermano tuttavia alla sola minimizzazione dei danni, come spiega Monika Geitlinger: «Naturalmente vogliamo proteggere adeguatamente la nostra banca e quindi anche i dati dei nostri clienti, ma ci sforziamo molto anche per giungere a una visione d’insieme del tema: tutti noi potremmo rimanere vittime della criminalità informatica anche nella vita privata, quindi nelle nostre formazioni mettiamo in evidenza i rischi aziendali ma spieghiamo anche quello che ognuno può fare per minimizzare i rischi nella vita privata.»
Non c’è alcun dubbio: se lo staff comprende il senso delle misure di sicurezza e si comporta in maniera attenta alla sicurezza, lo farà in ogni situazione. Perciò, la Security Awareness è anche un’opportunità di crescita per il personale. L’attenzione alla sicurezza, infatti, non si ferma sulla soglia dell’ufficio.