Le aziende farebbero bene a cercare il modo più efficace per coinvolgere i propri dipendenti nella mitigazione e nell’eliminazione delle minacce prima che queste si concretizzino.

Ciò che i più esperti nel settore dell’information security hanno imparato nel corso degli anni è che non puoi relegare la sicurezza ad unico dominio di un ristretto numero di persone e aspettarti che funzioni. Le minacce e le vulnerabilità continuano ad evolvere molto rapidamente, perciò è sempre più urgente che le aziende facciano evolvere di conseguenza i propri dipendenti, affinché siano in grado di avere un ruolo attivo sulla sicurezza della rete, dei dati critici e dei servizi di business aziendali. Sono ancora troppi coloro che vedono erroneamente la sicurezza come un’attività saltuaria piuttosto che un processo iterativo e continuativo: una visione che porta ad una pericolosa riduzione del livello di vigilanza richiesto per generare una cultura di sicurezza realmente efficace.

Allora, come possiamo contrastare questa vetusta impostazione mentale e fare in modo che si pensi alla sicurezza in maniera più seria?

In primo luogo, mettendo le informazioni a disposizione di tutti. La sicurezza non dovrebbe essere un segreto. Sebbene sia più che condivisibile che determinati aspetti inerenti protocolli ed architetture debbano rimanere confidenziali, ciò non significa che gli utenti non debbano essere educati sulle migliori pratiche di sicurezza ed opportunamente istruiti su come riconoscere e prevenire comportamenti dannosi e malevoli. Attraverso l’educazione, la formazione e la consapevolezza sui temi della sicurezza è possibile incoraggiare lo sviluppo di una cultura di controllo e vigilanza maggiori, grazie alla quale gli utenti si sentiranno autorizzati o addirittura costretti ad agire come se fossero i responsabili della sicurezza.

Quindi, ponendo maggiore enfasi verso una migliore sicurezza proprio dove è più opportuno, ovvero all’interno delle unità di business e verso i manager di prima linea. Dare per scontato che la struttura di sicurezza sia in grado di decifrare autonomamente quali informazioni che attraversano la rete aziendale siano critiche o meno, è la perfetta ricetta per il disastro. Sebbene determinati comportamenti e modelli possano risultare talmente evidenti da mettere in allarme i professionisti della sicurezza, solo coloro che hanno una conoscenza approfondita di quali dati dovrebbero uscire dal perimetro aziendale, e di quali debbano essere acceduti dai dipendenti, possono fornire un contributo decisivo e vitale nella protezione e nella prevenzione della perdita o del furto di informazioni aziendali critiche. Una migliore comunicazione fra le strutture ICT e i responsabili di business è un requisito indispensabile per quelle aziende che intendono accrescere i propri sforzi in tema di sicurezza.

Infine, smettendo di considerare la sicurezza solo come un problema tecnologico. Indubbiamente aiuta, ma non basta, perché affidarsi esclusivamente alle soluzioni di sicurezza per intercettare tutti i problemi è una pratica piuttosto rischiosa. Facciamo una semplice comparazione per comprendere bene questo aspetto: ci fideremmo di produrre ed inviare un documento importante affidandoci solo al correttore ortografico per rilevare eventuali refusi ed errori? Ovviamente no, molto probabilmente durante la stesura del documento adotteremmo una particolare cura nel renderlo il più possibile perfetto, ricorrendo agli strumenti di correzione automatica solo come forma finale di revisione per prevenire errori. Ecco, un analogo approccio dovrebbe essere adottato per la sicurezza.

Un report prodotto nel 2012 da Booz Allen Hamilton e intitolato “The Vigilant Enterprise” (PDF) ha evidenziato come la sicurezza sia diventata oggi molto più complessa del semplice ricorso a soluzioni tecnologiche:

“Il solo allestimento di firewall e altre difese perimetrali più potenti non è sufficiente. Le sfide multidimensionali della sicurezza cibernetica richiedono un approccio manageriale comprensivo per consentire all’azienda di supervisionare e coordinare tutti gli elementi di sicurezza, ivi comprese politiche, procedure, tecnologie e persone”.

La tecnologia, per quanto importante possa essere, continua a rappresentare solo un quarto del puzzle della sicurezza. Le aziende che trattano seriamente la sicurezza riconoscono come il successo dei propri programmi di sicurezza dipenda fortemente dal modo in cui viene condotta l’operatività quotidiana e dal comportamento delle singole persone.

Essenzialmente, ciò che risulta evidente è la necessità di un approccio simile alla sorveglianza di quartiere, un valido meccanismo di contrasto e prevenzione della criminalità che esalta gli aspetti di educazione e buon senso, poiché insegna ai cittadini (o, nel nostro caso, agli utenti) come aiutarsi l’un l’altro, identificando ed evidenziando attività sospette nel quartiere (o nell’ambiente lavorativo). In aggiunta, esso fornisce ai cittadini/utenti l’opportunità di rendere più sicuro il proprio ambiente, migliorandone la qualità della vita.

Tipicamente, i gruppi di vigilanza dei quartieri si focalizzano sull’osservazione e sulla consapevolezza come mezzi di prevenzione del crimine e, in base alla consulenza della polizia, non sono tenuti a farsi carico dei problemi in prima persona, ma ad avvisare le forze dell’ordine in caso di attività sospetta. Analogamente, bisogna restare vigili e contattare tempestivamente i professionisti della sicurezza aziendale nel caso in cui si rilevi qualcosa di anomalo o sospetto, così, essendo tutti più consapevoli, il compito di salvaguardare le informazioni e il business della propria azienda diventa estremamente più agevole.

Le aziende che non agiscono in questo modo farebbero bene a ripensare il proprio approccio alla sicurezza: invece di focalizzarsi sui dipendenti come problema e sulla tecnologia come soluzione, farebbero certamente meglio ad individuare un modo efficace per coinvolgere i propri utenti nella mitigazione e nell’eliminazione delle minacce prima che queste si concretizzino. Un buon livello di educazione e una certa dose di responsabilizzazione possono, a lungo andare, risvegliare il security manager che è in tutti noi.

Liberamente tratto da: Everyone is a Security Manager – Security Week

Ettore Guarnaccia