Secondo il
Data Breach Investigations Report stilato da Verizon quest’anno, l’85% delle violazioni di dati è dovuto a un fattore umano, di cui il 61% è riconducibile a credenziali trafugate o utilizzate in modo improprio. Anno dopo anno, l’errore umano continua a conquistare il primo posto sul podio delle minacce per la sicurezza delle organizzazioni di tutto il mondo.
In quest’ultima settimana del
mese dedicato alla sicurezza informatica, cerchiamo di capire il modo migliore per mettere al primo posto le attività educative e formative in materia di cibersicurezza sul luogo di lavoro, in modo da prevenire gli errori umani ed evitare di restarne vittime.
Scopriamo insieme quali sono i passi da intraprendere per promuovere una cultura aziendale orientata alla sicurezza.
Valutate il livello di maturità del vostro programma
Prima di commisurare alle altre priorità il vostro programma di sensibilizzazione alla sicurezza informatica, ne dovreste valutare il livello di maturità per comprendere più a fondo il grado di esposizione della vostra organizzazione al rischio di errore umano.
Avvaletevi di un modello standard del settore, come il
Security Awareness Maturity Model del SANS, per valutare i progressi compiuti e orientare opportunamente le vostre iniziative future. Sfruttate i modelli di maturità, insieme ad altre
metriche che misurano l’andamento del vostro programma, per sviluppare una tabella di marcia strategica e documentare i passi già compiuti dalla vostra organizzazione verso gli obiettivi di sicurezza prefissati.
Assicuratevi il sostegno dei piani alti
Conoscere sia i fattori commerciali che motivano le vostre imprese sia gli obiettivi del vostro team addetto alla sicurezza è fondamentale per assicurarvi le risorse che servono a cambiare le cose. Strutturando il programma intorno agli obiettivi della vostra organizzazione, offrite alle alte sfere motivi validi per fidarsi delle vostre decisioni e concedervi le risorse necessarie, incluso nuovi margini in termini di comunicazione, bilancio e risorse umane.
Inoltre, se siete in linea con i loro obiettivi e con quelli dell’organizzazione, diventa facile ottenerne il sostegno e la partecipazione. La sicurezza è una responsabilità condivisa tra tutti, inclusi i dirigenti senior, quindi assicuratevi di illustrare bene il valore e l’impatto del vostro programma.
Collaborate con chi può darvi una mano
Dopo aver gettato le basi del vostro programma di sensibilizzazione, arriva il momento di trovare, tra le fila aziendali, una rete di alleati che vi aiuti a trasformarlo in fatti.
Ad esempio, per aggiungere dei corsi modulari computerizzati al programma di onboarding delle nuove leve, avreste bisogno che il team delle risorse umane li integri nel sistema LMS aziendale; oppure, dovreste interfacciarvi con i responsabili della progettazione per rimodulare le priorità in funzione di una formazione aggiuntiva sullo sviluppo sicuro.
Il consiglio che vi diamo è di preannunciare ai colleghi e ai team del supporto le iniziative che avete in programma, in modo che possano pianificarle conciliandole con i propri impegni.
Comunicate il messaggio con inventiva e assiduità
Trasmettere un messaggio che abbia vasta risonanza nell’organico aziendale è importante almeno quanto mettere al primo posto un programma di sensibilizzazione alla sicurezza informatica. Sono ormai lontani i giorni in cui bastava inviare per e-mail un elenco di requisiti e politiche di sicurezza aziendali nella speranza che il personale fungesse da firewall umano.
Approfittate, invece, degli eventi più recenti per attirarne l’attenzione sul panorama delle minacce informatiche e, alle parole, preferite i fatti per mostrare ai dipendenti come un
gestore di password può aiutarli a garantire la massima protezione alle informazioni personali e aziendali di natura riservata, come riconoscere un
tentativo di phishing e come segnalare le
attività sospette al team addetto alla sicurezza della vostra organizzazione. E non dimenticate: quando le
pratiche in materia di sicurezza migliorano a livello personale, migliorano anche sul luogo di lavoro!
