Prevenzione in azienda

Come puoi migliorare la Cybersecurity? Sensibilizzando i tuoi dipendenti

2021-11-15

In ogni azienda, costruire una consapevolezza della cultura informatica dovrebbe essere parte della strategia a lungo termine della sicurezza IT. In realtà, le aziende spesso non vanno oltre la condivisione di qualche strumento di formazione di base sulla sicurezza informatica per i dipendenti. Certo non è possibile costruire una tale cultura in un giorno. Ma da dove si dovrebbe iniziare?

Il successo delle misure di cybersecurity in un’azienda dipendono non solo dagli esperti di sicurezza IT o amministratori IT, ma dipende anche da ogni individuo che ha accesso ai sistemi informatici dell’azienda – dal CEO agli impiegati, dai collaboratori esterni a quelli interni. In breve, ognuno è responsabile dei dati della propria azienda e deve adottare tutte le misure necessarie per proteggerli.

 

Prova a pensare a una cultura di consapevolezza informatica come qualcosa che nasce dalla collaborazione di tutte le persone dell'organizzazione. Tutti possono fare qualcosa per renderla migliore.

Se sei responsabile della sicurezza IT della tua organizzazione, di seguito troverai 5 modi per assicurarsi che le persone che fanno parte della tua azienda capiscano l’importanza di adottare un comportamento sicuro online e una corretta gestione dei dispositivi aziendali.

 

1) Assicurati che ognuno conosca cosa deve e non deve fare per mantenere al sicuro i dati

Non è così semplice come dirlo. In ogni azienda ci sono dipendenti che ignorano le richieste di aggiornamento del software del computer o coloro a cui non interessa quali applicazioni scaricano sui dispositivi aziendali. Potrebbero farlo perché non sanno che app specifiche possono causare danni o semplicemente perché sono troppo occupati per pensarci e si affidano al reparto IT per gestire tutti questi problemi e rischi.
 
Nel mondo aziendale, l’applicazione delle politiche di sicurezza sono molto varie in termini di come vengono definite le restrizioni o le libertà che ciascun dipendente ha quando maneggia i propri dispositivi elettronici. Tuttavia, il miglior modo di prevenire incidenti di sicurezza è spiegare a tutti i dipendenti, fin dall’inizio, quali sono i rischi a cui si va incontro e quali le azioni per evitarli. Dall’altra parte, è necessario fornire una guida chiara su come agire nel caso accada qualcosa. E’ importante che i dipendenti sappiano cosa fare e chi informare in caso di necessità.

 

2) Investi tempo di qualità nella formazione, in collaborazione con gli esperti del settore

Come esperto IT, probabilmente saprai la natura tecnica degli attacchi informatici, nonché le situazioni in cui si verificano tali incidenti. Ma non è abbastanza per un buon training. “La chiave è trovare qualcuno che veicoli questo tipo di informazioni alle aziende in un modo chiaro e interessante” dice Daniel Chromek, Chief Information Security Officer di ESET, in un’intervista sulla costruzione della consapevolezza informatica.
 
Impostare un corso di formazione sul tema della cybersecurity nella tua azienda è sicuramente un buon inizio. Se vuoi essere sicuro che la tua platea percepisca realmente il valore di ciò che tu stai illustrando loro, è necessario seguire alcuni passaggi fondamentali. Coinvolgere esperti in pedagogia, psicologi e esperti di grafica ti aiuterà a trasmettere le informazioni chiave in modo sia coinvolgente che divertente.
 
Psicologi o formatori esperti possono aggiungere elementi interessanti alla formazione: ad esempio, la conoscenza del mondo del lavoro da parte di psicologi sociali può aiutare a comprendere i modi in cui la tecnologia influenza l'interazione sociale, gli atteggiamenti e il comportamento. La Social Engineering lavora con la paura, la pressione del tempo e il ricatto; quindi, è bene capire anche come gestire questi contesti.

 

Quale tipo di personalità tende a cadere nella trappola del phishing? Leggi stress e lavoro in remoto: in che modo la tua personalità influenza i tuoi comportamenti online? 

 

3) Utilizza episodi e esempi pratici per illustrare i danni che un cyberattacco può causare 

Se si verifica un incidente di sicurezza informatica sul luogo di lavoro, utilizzalo come strumento per educare ulteriormente sia i dipendenti che i dirigenti. Richiamando questi eventi della vita reale, puoi migliorare significativamente la consapevolezza della sicurezza informatica in tutta l'organizzazione. L’uso di esempi reali permette di illustrare come un cyberattacco può sembrare oggi, perché è così efficace e quali sono le possibili conseguenze.
 
Un modo per comunicarlo potrebbe essere tramite una newsletter aziendale. Ma se i tuoi colleghi sono abituati a comunicare attraverso un altro canale come MS Teams o Slack, approfittane.

 

4) Monitora i trend dei crimini informatici

Uno dei ruoli dei responsabili IT è quello di tenere il passo con gli eventi di sicurezza. Poiché gli attacchi informatici sono in continua evoluzione, dovresti seguire le ultime notizie e le tendenze. Il modo più semplice per farlo è prendere l'abitudine di controllare regolarmente una piattaforma professionale rispettabile, come il blog WeLiveSecurity di ESET, che mette in guardia contro nuovi tipi di attacchi informatici e fornisce suggerimenti sulla protezione.
 
Se c'è qualcosa di veramente significativo nelle notizie d’attualità, condividilo con tutti i dipendenti. Sii ragionevole con la frequenza e l'importanza di questi avvisi, altrimenti i tuoi colleghi potrebbero smettere rapidamente di leggerli.

 

5) Verifica il livello di consapevolezza di ciascuno

Esistono molti modi per farlo, ma dovrebbero basarsi sul concetto di formazione a lungo termine, che riflette gli attuali problemi di sicurezza informatica.


Se tu, come molti altri, sei ancora all'inizio della costruzione della cultura di consapevolezza informatica nella tua azienda, non importa. Considera il seguente esempio di domande uno strumento attraverso cui puoi “educare” i tuoi colleghi. Puoi adattare le domande o aggiungerne di tue. Potresti anche offrire un premio simbolico per i partecipanti.


Questo quiz può aiutarti a evidenziare le lacune nella consapevolezza della sicurezza nella tua azienda e valutare ciò che deve essere affrontato nei prossimi step.

 

Leggi anche

social engineering how not to fall victim article

Come non cadere vittima del social engineering

Gli uomini sono esseri emotivi, e la social engineering è un modo molto efficace per trarre vantaggio da questo. Inoltre, gli attacchi di social engineering di solito non richiedono competenze tecniche altamente specifiche da parte di chi li attua. Forzare centinaia di utenti a condividere informazioni sensibili o compiere azioni dannose si è dimostrato piuttosto semplice! Non farti ingannare – anche se il tuo business è piccolo, potresti diventare un bersaglio appetibile.

Cyberchology Cover V2

Stress e lavoro in remoto: in che modo la tua personalità influenza i tuoi comportamenti online?

I cyberattacchi non sono solo questione di competenze informatiche. Il social engineering si basa sulla manipolazione psicologica, e spinge le persone a compiere azioni o a condividere informazioni riservate. Il modo in cui pensiamo e agiamo, tuttavia, può incidere concretamente anche sul modo in cui seguiamo le regole di sicurezza su internet, così come il nostro approccio alla protezione dei dati. Impara il modo in cui la tua personalità influenza il modo in cui affronti le cyber-minacce.

Cyber-aware culture Interview with Daniel Chromek

Vuoi costruire una cultura informatica? Trova il giusto modo per trasmettere conoscenza senza spaventare i dipendenti

L’educazione in tema di Cybersecurity può essere simile a dare un esame. Prima di tutto, ti serve per approfondire un tema e apprendere nuovi concetti ma, se non utilizzi le tue conoscenze per lunghi periodi, rischierai di dimenticare. Questo potrebbe essere l’effetto di un corso sulla cybersecurity per i tuoi dipendenti, che prendono parte ad un corso di formazione una o due volte l’anno e partecipano a presentazioni occasionali senza comprendere realmente il loro valore.