Se da un lato cresce il livello di raffinatezza e complessità degli attacchi informatici, dall’altro ciò consente alla maggior parte delle minacce di colpire il bersaglio continua a essere la disinformazione e la disattenzione degli utenti (che vanno sempre di pari passo).
La protezione dei sistemi informatici, infatti, non è responsabilità esclusiva dei comparti IT delle aziende, né del personale specificatamente deputato alla cyber security: essa è responsabilità condivisa, dai quadri dirigenziali che devono predisporre corsi di formazione sulla sicurezza informatica ai dipendenti che devono attuare le buone pratiche apprese.
Non è un caso che la formazione dei dipendenti in materia di cybersicurezza venga ribadita anche nella GDPR, all’art. 29, che sancisce l’obbligo di istruzione alla difesa informatica per tutti i dipendenti che abbiano accesso a dispositivi contenenti dati sensibili.
Sensibilizzare i dipendenti sull’importanza della cyber security
L’unico modo per rimediare alla disinformazione, e alla disattenzione che ne deriva, è sensibilizzare i propri collaboratori e dipendenti sull’importanza della sicurezza informatica, per la tutela di sé stessi e dell’azienda.
I furti di dati, e le azioni fraudolente che i criminali informatici possono compiere con questi, sono infatti lesive dell’individuo così come del gruppo, con danni direttamente proporzionali all’entità (quantità e qualità) della refurtiva. In buona sostanza, essere in grado di tutelarsi dagli attacchi informatici è un dovere, ma anche un vantaggio, per tutti. Ed è, oggi, indispensabile.
Partire da minacce reali e casi concreti
Il primo passo in questa direzione consiste nell’effettuare un’analisi accurata dei rischi più concreti a cui l’azienda è sottoposta: è verosimile che vi siano punti deboli e criticità maggiori, o comunque ben manifeste. Ed è più che probabile che tentativi di phishing, ormai all’ordine del giorno, si siano già verificati.
Per iniziare il percorso di formazione, è bene partire da fatti reali e casi concreti, così che tutti i partecipanti possano toccare con mano quali sono i rischi e le possibili conseguenze: questo è il modo migliore per introdurre l’alfabetizzazione di base al tema, fitto di termini tecnici che, senza un aggancio alla concretezza, possono risultare incomprensibili. Fatto questo, si potrà procedere al livello successivo, ampliando il range delle minacce e delle ulteriori pratiche di sicurezza per prevenirle.
Verificare la teoria con la pratica
Sempre lungo la linea della concretezza, è molto utile affiancare alla teoria la pratica. In che modo? Simulando un attacco informatico.
Poiché il veicolo più usato dai criminali informatici per introdursi nei device altrui e rubare dati è la posta elettronica, si può programmare un tentativo di phishing fittizio: la reazione dei dipendenti dimostrerà se le procedure apprese vengono messe in pratica oppure ignorate. In quest’ultimo caso, sarà evidentemente necessario tornare sull’argomento e approfondirlo, prima di passare al successivo.
Investire in figure professionali e tecnologie dedicate
Affinché la formazione sia efficace e serva veramente a incrementare i livelli di protezione, è bene valutare l’impiego di figure professionali dedicate, come il DPO (Data Protection Officer o, in italiano, RDP, Responsabile della Protezione dei Dati personali), ruolo istituito in conformità alla GDPR, obbligatorio per le PA ma decisamente consigliato anche per le aziende private.
Infine, può essere molto utile investire in tecnologie a supporto della cyber security, affidandosi per esempio a un Managed Service Provider affinché fornisca i software, gli aggiornamenti e la consulenza necessari a tutelare la sicurezza dei sistemi informatici e di chi ne fa uso, nel corso del tempo.