Le continue notizie di attacchi ransomware e data breach ai danni dei sistemi aziendali, rendono centrale la cultura di sicurezza informatica in azienda. Educare le persone sulle migliori pratiche e preservare la salute dell’organizzazione è diventata una priorità. Ecco perché sentiamo parlare sempre più spesso di security awareness.

Con questa espressione identifichiamo le attività di sensibilizzazione del personale aziendale sul tema della sicurezza delle informazioni, fornendo loro gli strumenti necessari per la prevenzione e la risposta efficace a eventuali attività sospette. Come abbiamo visto, l’approccio tradizionale ha fallito. Mettiamo dunque in chiaro come ottenere risultati concreti e una solida cultura di sicurezza informatica aziendale grazie alla security awareness.

 

Security awareness: come abilita la cultura di sicurezza in azienda

Per ottenere i massimi risultati da un programma di security awareness non possono mancare 3 elementi:

  • Tutto il personale deve essere coinvolto: la sicurezza informatica è responsabilità di tutti, nessuno escluso. I manager devono essere i primi interessati dalle attività. Solo così l’anello debole della sicurezza in azienda potrà essere rinforzato.
  • Le attività di security awareness devono essere continuative. Primo perché le minacce cambiano ed evolvono ogni giorno. Secondo, solo mantenendo alta l’attenzione su questo tema, fornendo anche gli strumenti per la prevenzione delle minacce e per la risposta a eventi pericolosi, il personale potrà essere efficace al bisogno. I programmi di security awareness sono fondamentali per apprendere le policy di sicurezza dell’azienda, comprendere i tipi di minacce, le dinamiche più comuni di social engineering e sviluppare un bagaglio di conoscenze tale da mettere in atto comportamenti virtuosi e risposte efficaci. Solo in questo modo la sicurezza diventa parte integrante dell’attività di ognuno, a prescindere dalla presenza in ufficio, a casa o ovunque possa svolgere il proprio lavoro.
  • Il percorso di security awareness deve essere calato nella realtà aziendale. La maggiore diffusione dello smart working rende i perimetri estremamente ampi e fluidi. Dunque va tenuto in considerazione l’utilizzo prevalente di dispositivi mobile e, spesso, di device personali con accesso alle risorse aziendali tramite reti non sicure.

 

Gli strumenti disponibili oggi comprendono:

  • una parte teorica, organizzata su piattaforme, più interattiva, digitalizzata e personalizzata rispetto al passato (con materiali scaricabili, video e attività continue di assessment);
  • una parte pratica, come le simulazioni che permettono di interiorizzare la cultura della sicurezza e la capacità di affrontare le sfide;
  • l’ultimo elemento imprescindibile, che affianca studio e attacchi simulati, dovrà essere il monitoraggio e l’analisi costante e duratura dei risultati. Solo così sarà possibile incentivare attivamente un progresso durevole che si riflette sulla cultura di sicurezza e security posture di tutta l’azienda.

Aumenta la cultura di sicurezza nella tua azienda

Share This