Degli attacchi di phishing, veicolati attraverso delle email truffaldine, o altri attacchi di social engineering, che sfruttano cioè le debolezze umane per riuscire a penetrare nel sistema aziendale. Ma perché mai le debolezze umane dovrebbero intimorire o preoccupare quelle aziende che hanno investito in efficienti sistemi di efficienza informatica? Per quale motivo è necessario sensibilizzare gli utenti del sistema informativo sui temi della sicurezza, quando l’infrastruttura IT aziendale è perfettamente protetta? Ebbene, il motivo è molto più semplice di quanto si potrebbe pensare: anche nel mondo IT vale la famosa massima di Barnard, ovvero “una catena è forte quanto il suo anello più debole”. La sicurezza informatica è garantita dai sistemi antivirus, dai firewall, dagli antimalware, dalle procedure di sicurezza messe in atto e da altri elementi, tra i quali troviamo per l’appunto anche i comportamenti degli utenti. Basta una scelta sbagliata, una distrazione, e tutto il castello di carte costruito per garantire la sicurezza informatica dell’azienda può cadere su sé stesso. Si pensi a cosa potrebbe accadere nel momento in cui un dipendente, ingannato o raggirato, decidesse incautamente di svelare la propria password a uno sconosciuto che si è finto un tecnico: in questo caso i classici sistemi di difesa potrebbero fare ben poco. E il problema è che molti malintenzionati, nel tempo, hanno capito che in molti casi è molto più facile estrapolare dei dati d’accesso direttamente dagli utenti – con email confezionate ad arte o telefonate ingannevoli – piuttosto che sviluppare complessi attacchi informatici per entrare nel sistema aziendale.

Ecco, per questo motivo la sensibilizzazione degli utenti di un sistema informativo sui temi della sicurezza è di primaria importanza all’interno di una strategia di cybersecurity, per non vanificare tutto l’impegno profuso nel potenziare le proprie difese. Ma in quale modo i dipendenti possono essere effettivamente sensibilizzati su queste tematiche?

Prima di tutto: consapevolezza e responsabilità.

Da dove dovrebbe partire un percorso di formazione in cybersecurity per gli utenti di un sistema informativo? Quali dovrebbero essere i primi temi trattati in un corso di sicurezza informatica per fare in modo che questi insegnamenti si possano rivelare effettivamente efficaci? Il primo passo da effettuare, a nostra avviso, è quello di rendere edotti i dipendenti dei danni che potrebbero causare per una disattenzione, per una leggerezza, o per una lacuna nelle loro conoscenze relative alla sicurezza informatica. È infatti cruciale, già a questo punto, far capire ai dipendenti che non solo possono fare danni enormi con con un semplice click di troppo, ma che, oltre a questo, possono essere ritenuti responsabili di questi danni.

Pensiamo, per esempio, a cosa dicono le attuali regole a proposito delle norme di sicurezza sul lavoro. Tra le altre cose, il datore di lavoro è obbligato a fornire ai dipendenti tutti i dispositivi di protezione individuale del caso, come guanti, elmetti, occhiali protettivi e via dicendo, formando i lavoratori sul loro corretto utilizzo. Nel momento in cui il dipendente ha a disposizione tutto il necessario per proteggersi e si infortuna per un mancato e deliberato utilizzo di guanti o occhiali, la responsabilità è, almeno in parte, sua, dei danni eventualmente apportati a sé stesso e all’azienda. Ecco, una filosofia di questo tipo dovrebbe essere sviluppata anche in un corso di formazione sulla sicurezza informatica basilare, per sensibilizzare gli utenti in modo efficace. Non, va sottolineato, per fare terrorismo psicologico, quanto invece per far capire che effettivamente ognuno di loro rappresenta un anello della catena che tiene al sicuro i dati dell’azienda, e quindi di fatto la sua produttività.

Quali sono le situazioni in cui gli utenti si possono trovare?

Il secondo passaggio, dopo una prima fase passata alla consapevolezza dei danni che si possono fare, può essere dedicato a un’esposizione dei possibili scenari negativi che potrebbero coinvolgere l’azienda. Per dimostrare che non si parla di avvenimenti rari e remoti, che accadono solo nelle grandi imprese o magari solo all’estero, è possibile dimostrare a tutti gli utenti del sistema informativo – dal manager ai dipendenti – alcuni dei casi più recenti che hanno coinvolto delle imprese italiane. Può essere particolarmente vantaggioso, a questo scopo, trarre per esempio spunto dai rapporti Clusit, i quali semestralmente offrono un’analisi dei principali attacchi informatici perpetrati nel nostro Paese nell’ultimo periodo.

Gli strumenti per scongiurare i rischi

Una volta data la consapevolezza, dopo aver dimostrato che il rischio di attacchi informatici di varia natura è concreto, è bene dare agli utenti gli strumenti necessari per difendere sé stessi e l’azienda. Il passo successivo, di fatto, è quindi quello di mettere in pratica le policy aziendali per l’attuazione delle procedure IT più importanti per la sicurezza informatica.

Da anni organizziamo corsi aziendali sul tema della cyber security; questa lunga esperienza ci ha insegnato che, per rendere più efficaci queste occasioni formative, è importante trovare delle connessioni con i comportamenti della vita privata dei dipendenti, dando così dei consigli utili da applicare vantaggiosamente sia nella propria sfera personale che in quella aziendale. Il limite tra questi due mondi, del resto, dal punto di vista della sicurezza informatica è piuttosto labile: nella maggior parte dei casi, infatti, il medesimo smartphone è usato sia per il lavoro che per la vita privata. E non solo, va anche considerato il fatto che, soprattutto in regime di smart working, il computer di casa può essere utilizzato sia dai genitori per necessità lavorative, sia dai figli per delle lezioni da remoto o per attività ludiche.

Per proteggere l’azienda, ma anche per proteggere sé stessi, a livello professionale e a livello privato: nel momento in cui gli utenti del sistema informativo aziendale capiscono che il tema della sicurezza informatica è importante anche per la loro sfera personale, la formazione diventa molto più efficace. Per raggiungere i risultati prefissati, per poter contare su dei dipendenti formati in fatto di cyber security, è poi necessario pianificare dei percorsi formativi costanti nel tempo, misurando se possibile le performance dei vari utenti. Può essere prezioso, per esempio, effettuare delle campagne anti-phishing, e quindi delle simulazioni di e-mail di phishing rivolte ai dipendenti, per individuare eventuali punti deboli nel team, ai quali dedicare dei ripassi dedicati sulla sicurezza.

Sensibilizzare i dipendenti sul tema della sicurezza informatica e istruirli al meglio per difendersi dagli attacchi esterni non deve essere per forza difficile. Iscriviti alla nostra newsletter, e resta aggiornato sui nostri corsi e sulle altre best practice del mondo della gestione IT!