Come creare una cultura della sicurezza informatica in azienda

Chi pensava che il tema della sicurezza informatica fosse importante soprattutto per le grandi aziende internazionali si sbagliava: Uno studio recente mostra il rischio crescente di attacchi informatici anche nelle piccole e medie imprese: l'80% delle aziende intervistate è stato colpito da un attacco ai propri sistemi informatici lo scorso anno. Nel complesso, questi attacchi sono aumentati notevolmente, soprattutto quelli entrati nel sistema tramite e-mail.

Mancanza di cultura della sicurezza informatica

Poiché nella maggior parte delle aziende vengono utilizzati molti strumenti diversi per il lavoro, diventa sempre più difficile per i dipendenti riconoscere e valutare correttamente i rischi per la sicurezza. Le politiche di sicurezza rigorose sono utili solo in misura limitata: in genere, le persone cercano di mantenere i processi di lavoro il più semplici possibile; se questi sono complicati da ostacoli o controlli di sicurezza, è più probabile che i dipendenti cerchino di aggirarli. Per garantire che la strategia di sicurezza dell'azienda non fallisca, i dipendenti devono sviluppare una consapevolezza della sicurezza sul posto di lavoro.

Ecco la lista di controllo per una cultura della sicurezza informatica in azienda

1. La sicurezza informatica inizia dall'alto. Se la sicurezza informatica viene enfatizzata e rispettata dalla direzione, anche i dipendenti affronteranno l'argomento con maggiore serietà e saranno più propensi a mettere in discussione il proprio comportamento di utenti. Questo collegamento è evidenziato da un Indagine sulle violazioni della sicurezza nelle aziende britanniche. I dirigenti devono dare il buon esempio in materia di sicurezza con il proprio comportamento, per fornire una guida ai dipendenti e renderli consapevoli dei potenziali rischi per la sicurezza.
2. La sicurezza è responsabilità di tutti i dipendenti. Il problema della sicurezza non riguarda solo alcuni, ma l'intera azienda. Pertanto, ogni membro del team deve essere introdotto all'argomento. Riunitevi con ogni dipendente per sensibilizzarlo sul ruolo della sicurezza informatica nel lavoro quotidiano. È importante informare sui rischi che i diversi strumenti, i contenuti e il proprio comportamento possono comportare. Le abitudini che si sono insinuate nel tempo e che sono problematiche per la sicurezza dell'azienda possono così essere riconosciute e modificate.
3. Il contesto è la chiave. La sicurezza non sembra essere direttamente rilevante per tutti i dipendenti. Tuttavia, è importante coinvolgere tutti i reparti: solo così si può creare una cultura della sicurezza per l'intera azienda. Per mostrare ai dipendenti di diversi team in quali situazioni concrete il tema della sicurezza è rilevante, possono essere utili esempi pratici tratti dal loro lavoro quotidiano.
4. Scegliere le teste. Il team IT non può assumersi la responsabilità dell'intera strategia di sicurezza di un'azienda. Pertanto, è necessario individuare personale dei diversi dipartimenti che funga da collegamento tra l'IT e i rispettivi team. Sono più vicini alle decisioni quotidiane e hanno una comprensione più dettagliata dei processi di lavoro, o ne sono direttamente responsabili. Gli agenti di sicurezza appositamente nominati in ogni squadra possono supportare meglio il processo decisionale sul campo.
5. La formazione sulla sicurezza è un processo di apprendimento costante. Una sessione di formazione di un'ora per i dipendenti una volta all'anno è spesso sufficiente per soddisfare i requisiti di conformità, ma una cultura della sicurezza sostenibile non può essere costruita in questo modo. Per radicare una nuova comprensione e consapevolezza della sicurezza tra i dipendenti, è importante affrontare l'argomento in riunioni regolari a lungo termine. In questo caso, si può anche pensare di incorporare elementi ludici e organizzare un quiz nel mezzo, ad esempio.

Conclusione: nessuna tecnologia può sostituire la cultura della sicurezza in azienda.

Anche se gli sviluppatori forniscono sempre nuove misure di sicurezza per le applicazioni e gli strumenti aziendali, anche queste non possono evitare un aumento del rischio dovuto a un comportamento scorretto degli utenti. Pertanto, è fondamentale creare una consapevolezza della sicurezza informatica in azienda che coinvolga tutti i reparti, dalla direzione ai dipendenti. Solo quando tutti si uniscono è possibile far emergere una cultura della sicurezza informatica che protegga l'intera azienda dagli attacchi informatici.

A proposito dell'autore:
Morten Brøgger è l'amministratore delegato di Filo. Filo è una piattaforma di comunicazione e collaborazione sicura. Chat aziendali, chiamate in conferenza e condivisione di file: tutti i contenuti sono protetti dalla crittografia end-to-end.