Security Awareness in azienda: qual è il suo valore?
In ambito prettamente tecnologico, il fattore umano è determinante più che mai. Un solo errore di valutazione e i dati di un'azienda, o dei suoi clienti, possono ritrovarsi alla mercé di malintenzionati. I conseguenti danni alla reputazione, oltre che alle finanze di un'organizzazione, sono incalcolabili. Da qui risulta quindi chiaro quanto sia importante investire su una formazione atta a migliorare la cultura IT aziendale.
Cos'è la security awareness
Con questo termine ci si riferisce alla consapevolezza che titolari e dipendenti hanno in materia di sicurezza informatica, applicata ai beni fisici e informativi di un'impresa. È, infatti, possibile conoscere i suoi vari aspetti, ma non necessariamente esserne realmente consapevoli. Tramite questa sensibilizzazione, una realtà aziendale diventa più propensa ad aumentare la sicurezza, sia al suo interno che tra i clienti che usufruiscono dei suoi servizi in modo più efficiente.
Perché è importante
Un'impresa può sospendere la propria attività, se non chiudere i battenti, perché un dipendente, a prescindere dalle sue competenze informatiche, ha aperto un link contenuto in un'e-mail di phishing, oppure ha fornito dei dati sensibili a un sito falso. L'utilizzo di un antivirus, oltre che di un firewall e di un sistema crittografico, è estremamente raccomandato, ma non sempre è sufficiente per proteggersi dagli attacchi informatici. Ecco perché i dipendenti e i clienti di un'impresa devono essere consapevoli dei pericoli che possono presentarsi.
Security awareness training
Partendo quindi dal principio che i dipendenti stessi possono diventare un’importante risorsa per la sicurezza informatica della propria organizzazione, risulta spontaneo pensare che prevedere un programma di formazione efficace sia fondamentale per l’identificazione delle minacce informatiche.
Un percorso di training sulla security awareness generalmente combina la teoria (es. conoscere la policy relativa all'uso della rete aziendale) e la pratica (es. partecipare a simulazioni). Questi percorsi sono strutturati ad doc e si rivolgono a tutti i dipendenti di un'azienda, nessuno escluso. Gli argomenti trattati sono diversi, partendo dalle e-mail di phishing e dai siti falsi; ma non solo… Tra le ulteriori minacce informatiche, si possono infatti menzionare:
- i malware (virus, adware, spyware e trojan);
- i furti di password;
- le violazioni di copyright nell'ambito delle condivisioni dei file.
Per non parlare delle minacce fisiche. Basti pensare a chi arreca dei danni ai dispositivi di archiviazione di memoria rimovibili come le chiavette USB o a un visitatore che osserva un dipendente utilizzare una password per accedere a una risorsa aziendale. A ciò si aggiunge, per esempio, la possibilità di un furto dei post-it attaccati sul PC o dei documenti presenti sulla scrivania di un dipendente che contengono codici e password.
A proposito di PC, alcune aziende invitano i propri dipendenti a utilizzare il proprio dispositivo personale. Da una parte, ciò incoraggia i dipendenti ad aumentare la loro produttività, poiché utilizzano un dispositivo a loro familiare. Dall'altra, li espone a maggiori rischi; i loro PC non godono infatti dello stesso livello di protezione di un PC configurato per l'uso aziendale.
In sostanza, i dipendenti possono rappresentare un’importante linea di difesa per l’organizzazione ed è per questo che la formazione deve essere sempre costante e aggiornata: la possibilità di un attacco informatico, infatti, persiste e anzi aumenta sempre di più col passare del tempo.