La sicurezza è sempre un tema di compromesso in cui vanno pesati rischi e costi. In questa analisi, si tende però troppo spesso a sottovalutare la componente legata ai dipendenti aziendali e al loro possibile contributo nel contrastare le minacce e favorire la protezione.
E’ su questo punto che Gastone Nencini, country manager di Trend Micro Italia, vuole riportare l’attenzione delle aziende rimarcando l’importanza di affiancare nella strategia di security, oltre ai temi tecnologici, quelli legati al giusto livello di consapevolezza, alla giusta cultura e ai processi corretti.
“Le aziende oggi investono in sistemi di cybersecurity, hanno dei programmi di education, degli standard e delle procedure che aiutano a mantenere le informazioni sicure. Spesso, però, si tende a dimenticare che la prima linea di difesa è l’individuo, il singolo dipendente.
Nella prima metà del 2017, le truffe Business Email Compromise (BEC) sono state, infatti, una delle principali minacce alle aziende. Secondo uno studio dell’FBI, pubblicato a maggio, le perdite globali determinate da queste truffe hanno raggiunto, a partire dal 2013, i 5,3 miliardi di dollari.
Purtroppo non c’è motivo di credere che questo fenomeno possa rallentare e, secondo i nostri studi, le figure maggiormente colpite sono quelle dei reparti finance/amministrazione, con in testa, ovviamente, il CFO“.
“Per rispondere alle minacce serve uno sforzo coordinato – precisa Nencini -. La security richiede infatti una visione e delle policy, che devono essere insegnate. È il Chief Information Security Officer (CISO) che deve creare le policy e occuparsi delle fasi di education, oltre a stabilire il budget necessario a supportare lo sviluppo di queste policy“.
Secondo Trend Micro un programma di security dovrebbe riunire gli sforzi di più figure aziendali, partendo dal CISO che dovrebbe guidare i tecnici nello sviluppo di standard di sicurezza e lavorare con le altre figure del’IT e delle Risorse Umane HR per integrarlenei processi e nelle operazioni aziendali. I
Supportare i dipendenti per renderli parte attiva delle protezione
Il country manager di Trend Micro sottolinea l’importanza di un programma di awareness per i dipendenti che deve, tuttavia, prevedere un modello per validarne l’efficacia e consentire ai dipendenti non solo di intervenire nel caso notino situazioi sospette, ma di farlo in modo corretto e con il giusto interlocutore.
“Se il dipendente non è a conoscenza di ciò che determina un’azione sbagliata, non la riconoscerà, non farà nulla e il programma fallirà – osserva Nencini – . Questo è il cuore dell’awareness quando parliamo di security. Altro caso, se il dipendente riporta il problema ma la persona all’help desk non sa che cosa fare, il programma fallisce nuovamente. Se un dipendente ha paura di denunciare un problema perché teme di essere declassato o di suscitare antipatie, è una questione che riguarda la cultura aziendale e in ogni caso determinerà un nuovo fallimento del programma“.