La sensibilizzazione sulla sicurezza delle informazioni è ormai una priorità assoluta per le aziende di qualsiasi settore e dimensione. Scopriamo cos’è la security awareness e quali sono le caratteristiche e i benefici di un programma aziendale di sensibilizzazione sulla sicurezza e la salvaguardia del business. Capiamo perché non devono esservi coinvolti solo i dipendenti ma anche, e soprattutto, dirigenti e manager. Vediamo, infine, com’è possibile attuare un’efficace campagna di security awareness in azienda.

Il termine security awareness indica generalmente un’azione di sensibilizzazione su svariati aspetti della sicurezza delle informazioni, volta principalmente ad incrementare il livello di consapevolezza degli utenti, tipicamente in una realtà aziendale, innalzando di conseguenza il livello di sicurezza dell’organizzazione e l’efficacia in termini di protezione dei dati aziendali critici e dei dati personali.

I benefici di un programma di security awareness

Nel panorama moderno la tecnologia digitale è ovunque, i dati si spostano e viaggiano alla velocità della luce, mentre le minacce informatiche si moltiplicano esponenzialmente ed è ormai chiaro che non esiste alcuna soluzione tecnologica in grado di garantire un’adeguata affidabilità nella protezione dei propri dati. Basta scorrere le news per accorgersi di come le violazioni informatiche diventino sempre più comuni e volumi esponenzialmente crescenti di dati passino continuamente nelle mani di cyber criminali e hacktivisti.

L’ultimo baluardo rimasto è l’utente, che purtroppo è quasi sempre anche l’anello debole della catena. Ecco perché

un accurato programma di sensibilizzazione sulla sicurezza delle informazioni è ormai una priorità assoluta per le aziende di qualsiasi settore e dimensione.

Gli aspetti generalmente trattati vanno dalle linee guida di base, ovvero la protezione del proprio computer e dei dispositivi mobili (smartphone e tablet), la robustezza e la protezione delle credenziali d’accesso, la salvaguardia delle proprie informazioni personali e il riconoscimento dei tentativi di intrusione e truffa (spam, phishing, social engineering, ecc.), fino a concetti più elevati, come il governo delle politiche di sicurezza, le soluzioni di controllo, le migliori pratiche di prevenzione e di risposta ad eventi negativi.

Lo scopo è quello di sviluppare negli utenti le competenze essenziali, le tecniche e i metodi fondamentali per prevenire il più possibile gli incidenti di sicurezza e reagire al meglio a fronte di eventuali problemi. Investire in un programma di security awareness significa fornire agli utenti un certo livello di maturità in termini di protezione dei dati aziendali e personali, nonché nella risposta e nella gestione degli incidenti, con il risultato di aumentare notevolmente la security posture aziendale.

I programmi di sensibilizzazione sono un ottimo modo di educare il personale sulle migliori pratiche di sicurezza e rinfrescare con continuità il contenuto delle politiche di sicurezza aziendali nelle loro menti. L’idea di base è quella di motivare le persone a prendere sul serio la sicurezza delle informazioni aziendali e a rispondere al meglio a qualsiasi minaccia, facendo comprendere loro che è nel loro stesso interesse preservare i dati critici dell’azienda e, di conseguenza, salvaguardare il business aziendale e mantenere il più possibile florido il conto economico da cui provengono i loro stipendi mensili.

Un buon programma di sensibilizzazione coinvolge tutto il personale, nel rimanere al passo con l’evoluzione delle moderne tecnologie digitali e nel comprendere le più comuni tipologie di minacce e attacchi, che possono intaccare il corretto svolgimento delle operazioni di business. Uno dei principali messaggi da veicolare è che la sicurezza delle informazioni deve essere parte integrante del lavoro quotidiano di ognuno e richiede aggiornamento, consapevolezza e responsabilità individuale.

Un programma di awareness, infine, perché sia efficace, deve essere erogato sia su base continuativa che su richiesta, prevedendo un percorso di formazione regolarmente attuato e caratterizzato da crescenti livelli di approfondimento, contestualizzati sul settore in cui opera il personale coinvolto.

Non solo i dipendenti, ma anche dirigenti e manager

Quando si parla di formazione e sensibilizzazione, spesso si commette l’errore di considerarle come iniziative originate dal reparto di information security e dirette ai soli dipendenti, escludendo a monte il coinvolgimento di manager e dirigenti. Niente di più sbagliato, perché il panorama attuale (quello sopra descritto) obbliga a prendere in considerazione soprattutto i più alti livelli di governance e la direzione.

Innanzitutto perché dirigenti e manager dispongono spesso di un buon numero di dispositivi di differenti tecnologie, sicuramente notebook, tablet e smartphone, che sono fra l’altro dispositivi di tipo mobile, quindi particolarmente soggetti ad intrusione, furto e smarrimento. Poi perché questi dispositivi sono pieni zeppi di informazioni aziendali particolarmente critiche: documenti riservati, segreti industriali, dati sensibili, credenziali d’accesso e tutta la messaggistica di posta elettronica, instant messaging e SMS.

Ulteriore rischio è il frequente ricorso ad infrastrutture pubbliche o hotspot privati per l’accesso wireless alla rete Internet senza alcuna garanzia di protezione ed esponendo i propri dispositivi ad intrusioni e furti di informazioni. Non va tralasciato il fatto che, spesso, sono proprio i più alti livelli del management di un’azienda gli obiettivi primari di attacchi, sotto forma di spear phishing e Advanced Persistent Threat (APT), per fronteggiare i quali è fondamentale disporre di un’adeguata formazione di sicurezza delle informazioni.

Infine, una delle principali responsabilità di dirigenti e manager è quella di far rispettare le politiche aziendali, sviluppare le risorse umane e garantire che ciascun dipendente sia adeguatamente formato e preparato, ed è fondamentale che anch’essi acquisiscano i medesimi criteri di sicurezza trasmessi al personale, ed entrino attivamente a far parte del gioco di squadra di cui la sicurezza dell’azienda e la salvaguardia del business aziendale hanno estremo bisogno.

In definitiva,

se l’utente è l’anello debole della catena della sicurezza aziendale, spesso dirigenti e manager sono proprio la parte più debole dell’anello,

quella che più facilmente può innescarne la rottura e, quindi, la vanificazione dell’intera catena di protezione dei dati. Ecco perché dirigenti e manager devono essere chiamati in causa e hanno la responsabilità di dare l’esempio, dimostrandosi dei leader, non delle mere autorità di controllo dei dipendenti.

Come attuare un’efficace campagna di security awareness

Il canale tradizionale per l’attuazione di una campagna di sensibilizzazione sulla sicurezza delle informazioni rimane la formazione in aula, erogata da specialisti interni della sicurezza informatica o da formatori esterni. Anche le soluzioni di e-learning possono offrire buoni risultati, in particolare per programmi prestabiliti. Queste tecniche offrono indubbiamente vantaggi sotto il profilo dell’esaustività e dell’approfondimento, ma devono fare i conti con la difficoltà di portare in aula con continuità tutto il personale e con l’inevitabile handicap dell’attenzione richiesta ai partecipanti. Dirigenti e manager, in particolare, non tollerano granché le sessioni di formazione in aula, a causa della predilezione per le rappresentazioni di sintesi, dei numerosi impegni e delle finestre di attenzione estremamente ridotte.

Un’alternativa può essere l’allestimento di una newsletter aziendale focalizzata di volta in volta su specifiche tematiche di sicurezza delle informazioni, magari privilegiando anche qui la schematicità e la sintesi espositiva. Analogamente, anche una sezione dedicata alla sicurezza nel portale intranet aziendale può offrire un buon grado di attenzione e una vasta raggiungibilità del personale, soprattutto in organizzazioni con molte sedi e filiali distribuite.

In entrambi i casi (newsletter e intranet) è preferibile ricorrere a contenuti multimediali, come vignette, meme o filmati molto brevi che richiamino situazioni di minaccia o attacco, e che illustrino sia i comportamenti errati che favoriscono le violazioni, sia le best practice da attuare per prevenirle o affrontarle al meglio.

Ci sono addirittura aziende che optano per l’inserimento di volantini di sensibilizzazione all’interno della busta paga dei dipendenti, con la garanzia di raggiungere indistintamente tutto il personale e, soprattutto, di coglierlo in uno dei momenti più gratificanti dell’attività lavorativa. Una soluzione che può funzionare solo nelle organizzazioni che fanno tuttora ricorso ai cedolini in formato cartaceo – realtà in via d’estinzione.

Personalmente prediligo soluzioni più smart, d’impatto, persistenti e pervasive, molto più efficaci nel veicolare i messaggi di sensibilizzazione e nel fissarli nella memoria del personale, dirigenti e manager compresi, senza richiedere un particolare sforzo organizzativo.

Mi riferisco, ad esempio, al push automatico di apposite immagini di sensibilizzazione, generalmente in formato wallpaper, poster o spot pubblicitario, sul desktop e sulla schermata di blocco dei dispositivi aziendali assegnati al personale: computer desktop, notebook, thin client, tablet e smartphone. Il sistema è piuttosto semplice e rapido da implementare, soprattutto in ambiente Windows, e consente di presentare contenuti di security awareness con rapidità, efficacia e continuità.

In alternativa, un altro sistema molto efficace e d’impatto è l’affissione di appositi poster di sensibilizzazione nelle aree di aggregazione e passaggio dell’azienda, ad esempio negli atri, nei corridoi di frequente passaggio, in corrispondenza di stampanti e fotocopiatrici, oppure nelle aree relax vicino ai distributori di bevande e snack. Un accurato e preventivo censimento di tali aree è ovviamente requisito fondamentale. I poster possono essere sostituiti da dispositivi più moderni, come digital poster, chioschi digitali touchscreen, video advertising board o cornici digitali di grande formato, magari collegati in rete e amministrabili centralmente. Ovviamente in questi casi l’esborso economico sarà nettamente maggiore, ma si avrà la garanzia di un’elevata efficacia nel catturare l’attenzione del pubblico.

In tutti i casi è molto importante produrre contenuti di qualità, con grafica gradevole e d’impatto, oltre a un’attenta disposizione dei contenuti (attenzione, ad esempio, alla risoluzione video, al popup di login in centro alla schermata di blocco o alla fascia di sinistra e in basso in cui solitamente risiedono le icone di sistema e la barra delle applicazioni) che ne garantisca la piena fruibilità da parte dell’utente.

A meno che non si disponga di ottimi esperti e strumenti grafici in azienda, consiglio di ricorrere a società esterne specializzate in advertising. Anche la collaborazione fattiva con le funzioni aziendali di organizzazione e risorse umane è fondamentale per la riuscita della campagna di sensibilizzazione.

Infine, una costante e frequente rotazione dei contenuti consente di massimizzarne il rendimento in termini di sensibilizzazione e di trasferimento dei messaggi, evidenziando al contempo l’attenzione della direzione nei confronti della sicurezza e della salvaguardia del business aziendale.

La firma che diligentemente apporremo su tutti i contenuti della campagna sarà lì a dimostrare che il reparto aziendale di sicurezza delle informazioni è attivo, dinamico, presente, perfettamente aggiornato e costantemente al servizio della crescita di consapevolezza del personale.

Cosa che, lasciatemelo dire, non guasta mai.

Ettore Guarnaccia