ICT Security: responsibilità condivisa tra dipendenti e azienda?

L’ICT Security è responsabilità di tutti: è necessario uno sforzo congiunto tra le persone che utilizzano sistemi e informazioni aziendali e l’Organizzazione stessa. Diventa quindi essenziale fornire una formazione adeguata ad ogni collaboratore per poterlo abilitare all’incessante lotta di difesa dai cyber attacchi. 

È opinione comune pensare che proprio gli utenti siano uno dei maggiori fattori di rischio nell’ICT Security – sia che si tratti di un malintenzionato infiltrato che vuole rubare o manomettere dati, sia che si tratti di un ignaro utente che, ricevuta un’email, clicca su un link e attiva un malware che si diffonde all’intero sistema.

Le minacce mirate moderne sono però sempre più spesso orientate verso un’Organizzazione specifica o persino un singolo utente. Oramai le regole del buon senso comune, come quella del “non aprire link o allegati sospetti”, non sono quindi più sufficienti. In un’epoca in cui gli hackers sono in grado di creare email completamente insospettabili o persino di sviluppare attacchi informatici tramite pagine web d’uso comune dell’utente, in aggiunta all’utilizzo quotidiano di applicazioni basate su cloud e sistemi di storage/sharing di file, servizi di supporto tecnico e applicazioni di chat, la minaccia si trova sempre dietro l’angolo. Quando queste minacce diventano realtà, il dito tende ad essere puntato sull’utente.

Gli aggressori sanno che le aziende fanno un utilizzo sempre maggiore della tecnologia, ma sanno anche che il personale è spesso scarsamente formato.

Se fossi tu l’aggressore, cercheresti di scassinare la porta del castello o di trovare una mano stabile non addestrata per farti entrare?

Al giorno d’oggi abbiamo buone leggi sulla salute e sicurezza sul lavoro e le nostre “postazioni” sono più sicure che mai, ma purtroppo continuano a verificarsi incidenti. Se questi incidenti sono dovuti a una scarsa o inefficiente formazione, la colpa ricade direttamente sul datore di lavoro, per la sua negligenza. Questo però non avviene quando si parla di incidenti informatici.

È risaputo che la formazione informatica può essere complicata e potenzialmente costosa, anche se sicuramente meno onerosa della gestione di un cyber attacco. Nel caso di Organizzazioni di grandi dimensioni, complesse o addirittura multinazionali, assicurarsi che tutto il personale abbia una formazione regolare, ben preparata e pertinente, può essere molto impegnativo, ma la verità è che, per come stanno le cose, le persone rappresentano la prima linea di attacco e di difesa.

 

L’impreparazione dei dipendenti offre ai criminali più opportunità di ingresso rispetto al velleitario tentativo di abbattere un pesante sistema di difesa informatica. Diviene perciò necessario e fondamentale attivare programmi di Awarness che limitino gran parte dei tentativi di intrusione di malintenzionati, i quali avvengono proprio attraverso i dispositivi di dipendenti e collaboratori, affiancando il potere della conoscenza a quello della tecnologia.

Marco Trivisonno
VM Sistemi – Marketing Support

Related Posts

Pin It on Pinterest